セキュリティ研究者が、Instagramが削除した写真やプライベートメッセージを1年以上も保存していたことを発見した。同社はこの発見に対し、研究者に6,000ドルを支払った。

TechCrunchが報じている。

独立系セキュリティ研究者のソーガット・ポカレル氏は、欧州の新データ規則に従うために2018年に開始された機能でインスタグラムから自分のデータをダウンロードした際、ダウンロードしたデータには以前に削除した写真や他のユーザーとのプライベートメッセージが含まれていたことを発見した。

企業が削除したばかりのデータを、ネットワーク、システム、キャッシュから適切に削除されるまでしばらく保管することは珍しくありません。Instagramによると、削除されたデータがシステムから完全に消去されるまでには約90日かかるとのことです。

しかしポカレル氏は、1年以上前に削除されたはずのデータが依然としてインスタグラムのサーバー上に保存されており、同社のデータダウンロードツールを使ってダウンロードできることを発見した。

ポカレル氏はこれをバグとして報告し、同社はバグ報奨金制度に基づき6,000ドルを支払った。同社によると、バグはすでに修正されているという。

これは昨年のTwitterでの経験と似ており、別の研究者はTwitterがダイレクトメッセージのコピーをユーザーが削除してから「何年も」保存していることを発見した。

これは意図的なプライバシー侵害ではなくコーディングエラーだったとする両社の説明に疑問の余地はないが、削除ポリシーに関する透明性とユーザーコントロール、そして適切な監査プロセスの必要性を浮き彫りにしている。

たとえば、iPhone から写真を削除する場合、Apple はデフォルトのプロセスについて透明性を保っています。

• 写真は「削除された写真」アルバムに移動されます
• メインフィードからは非表示になっています
• 30日後に完全に削除されます

30 日間の遅延を無効にすることもできます。[削除済み写真] アルバムに移動してそこから写真を削除すると、直ちに完全に削除されます。

他のアプリやサービスもこのアプローチから多くを学ぶことができるでしょう。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。