Peneliti keamanan Saugat Pokharel mendapatkan bug bounty sebesar $6.000 setelah menemukan bahwa layanan Instagram menyimpan pesan dan foto di server Instagram, meskipun setelah pengguna menghapus foto yang bersangkutan.
Penemuan bukti tersebut dimungkinkan berkat alat pengunduh data milik Instagram, yang dirilis perusahaan pada tahun 2018 untuk mematuhi General Data Protection Regulation (GDPR).
Sebagai gambaran, Regulasi Perlindungan Data adalah regulasi dalam hukum Uni Eropa yang mengatur perlindungan data pribadi di dalam maupun di luar Uni Eropa. Regulasi perlindungan data terbaru yang diadopsi UE adalah Regulasi Umum Perlindungan Data Regulasi 2016/679 tanggal 27 April 2016.
Langkah yang dilakukan oleh Instagram tersebut merupakan praktik yang cukup standar bagi perusahaan untuk menyimpan data yang baru dihapus di server mereka hingga dapat dihapus dengan benar. Instagram mengatakan, mereka butuh waktu 90 hari untuk sepenuhnya menghapus data tersebut.
Akan tetapi, Saugat Pokharel dan para peneliti menemukan bahwa mereka masih dapat mengakses pesan dan foto yang dihapus lebih dari setahun yang lalu menggunakan alat pengunduhan data perusahaan.
Pokharel melaporkan masalah tersebut ke Instagram pada Oktober 2019, tetapi masalah tersebut baru diperbaiki awal bulan ini.
“Peneliti melaporkan masalah di mana gambar dan pesan Instagram yang dihapus seseorang akan disertakan dalam salinan informasi mereka jika mereka menggunakan alat Unduh Informasi Anda di Instagram,” klaim juru bicara Instagram. “Kami telah memperbaiki masalah tersebut dan tidak melihat bukti adanya penyalahgunaan. Kami berterima kasih kepada peneliti karena melaporkan masalah ini kepada kami," sebutnya.
Instagram sendiri berencana untuk menghapus akun yang mencurigakan, termasuk bot, dengan verifikasi melalui ID. Ide perusahaan adalah untuk mengontrol "potensi perilaku tidak autentik" mungkin untuk menghentikan jumlah pengikut palsu atau like dari akun bot.
Baca juga:
Perusahaan mengatakan, sebagian besar pengguna tidak akan terpengaruh oleh ini. Jadi Anda mungkin tidak akan mendapatkan perintah untuk menunjukkan ID Anda.
Namun jika jejaring sosial tersebut menemukan akun Anda mencurigakan, ia mungkin meminta Anda untuk mengirimkan KTP, dan Anda akan memiliki dua kesempatan untuk melakukannya. Selama peninjauan, Anda mungkin kehilangan akses ke akun Anda atau Instagram mungkin mengurangi visibilitas akun Anda.
Jika verifikasi Anda berhasil, akun Anda akan dipulihkan dan ID Anda akan dihapus dari server dalam 30 hari.
Disebutkan, Instagram juga ingin mengurangi informasi yang salah dan spam. Akan tetapi, sejauh ini sebagian besar kebijakan tersebut baru dilakukan untuk mengurangi bot dan akun palsu.
Penemuan bukti tersebut dimungkinkan berkat alat pengunduh data milik Instagram, yang dirilis perusahaan pada tahun 2018 untuk mematuhi General Data Protection Regulation (GDPR).
Sebagai gambaran, Regulasi Perlindungan Data adalah regulasi dalam hukum Uni Eropa yang mengatur perlindungan data pribadi di dalam maupun di luar Uni Eropa. Regulasi perlindungan data terbaru yang diadopsi UE adalah Regulasi Umum Perlindungan Data Regulasi 2016/679 tanggal 27 April 2016.
Langkah yang dilakukan oleh Instagram tersebut merupakan praktik yang cukup standar bagi perusahaan untuk menyimpan data yang baru dihapus di server mereka hingga dapat dihapus dengan benar. Instagram mengatakan, mereka butuh waktu 90 hari untuk sepenuhnya menghapus data tersebut.
Akan tetapi, Saugat Pokharel dan para peneliti menemukan bahwa mereka masih dapat mengakses pesan dan foto yang dihapus lebih dari setahun yang lalu menggunakan alat pengunduhan data perusahaan.
Pokharel melaporkan masalah tersebut ke Instagram pada Oktober 2019, tetapi masalah tersebut baru diperbaiki awal bulan ini.
“Peneliti melaporkan masalah di mana gambar dan pesan Instagram yang dihapus seseorang akan disertakan dalam salinan informasi mereka jika mereka menggunakan alat Unduh Informasi Anda di Instagram,” klaim juru bicara Instagram. “Kami telah memperbaiki masalah tersebut dan tidak melihat bukti adanya penyalahgunaan. Kami berterima kasih kepada peneliti karena melaporkan masalah ini kepada kami," sebutnya.
Instagram sendiri berencana untuk menghapus akun yang mencurigakan, termasuk bot, dengan verifikasi melalui ID. Ide perusahaan adalah untuk mengontrol "potensi perilaku tidak autentik" mungkin untuk menghentikan jumlah pengikut palsu atau like dari akun bot.
Baca juga:
- Twitter Tertarik Beli Operasional TikTok di AS
- Microsoft Ingin Menjadi Perusahaan Teknologi Yang Ramah Lingkungan
- Aplikasi Google Maps Kembali Beroprasi di Apple Watch 3
Perusahaan mengatakan, sebagian besar pengguna tidak akan terpengaruh oleh ini. Jadi Anda mungkin tidak akan mendapatkan perintah untuk menunjukkan ID Anda.
Namun jika jejaring sosial tersebut menemukan akun Anda mencurigakan, ia mungkin meminta Anda untuk mengirimkan KTP, dan Anda akan memiliki dua kesempatan untuk melakukannya. Selama peninjauan, Anda mungkin kehilangan akses ke akun Anda atau Instagram mungkin mengurangi visibilitas akun Anda.
Jika verifikasi Anda berhasil, akun Anda akan dipulihkan dan ID Anda akan dihapus dari server dalam 30 hari.
Disebutkan, Instagram juga ingin mengurangi informasi yang salah dan spam. Akan tetapi, sejauh ini sebagian besar kebijakan tersebut baru dilakukan untuk mengurangi bot dan akun palsu.