Instagram、平文パスワードが含まれたURLを生成する不具合

nemui4曰く、　Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ（GIGAZINE、ギズモード・ジャパン、iPhone Mania）。

　ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

　問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

　このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

　スラドのコメントを読む | ITセクション | セキュリティ | SNS

　関連ストーリー：
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
T-Mobile Austria、ユーザーのパスワードを平文で保存しているとツイートして騒動に 2018年04月12日
macOS High Sierraで外部APFS暗号化ボリュームのパスワードが平文でログに記録される問題 2018年03月31日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日