» »

Instagram hranil tudi izbrisane fotografije

Instagram hranil tudi izbrisane fotografije

Slo-Tech - Pravzaprav ni presenetljivo niti kakšna večja novica, da je Instagram hranil fotografije uporabnikov še več kot leto dni potem, ko so jih ti izbrisali. Zanimivo pa je, da so to označili kot hrošča in celo izplačali nagrado (bug bounty) raziskovalcu, ki je to odkril. Saugat Pokharel je od Instagram zahteval vse osebne podatke, ki jih hranijo o njemu, kar je možno storiti po evropski zakonodaji. Instagram mu je ustregel in jih poslal, med katerimi so bile tudi že izbrisane datoteke.

Samo po sebi to ni nujno nenavadno, saj ob brisanju traja nekaj časa, da se spremembe sprovede na vseh strežnikih in v podatkovnih centrih. Toda po več kot letu dni, to ni več sprejemljivo. Še bolj nenavadno pa je (in pošteno, pravzaprav), da je Instagram te fotografije tudi poslal uporabniku. Pokharel je zato oktobra 2019 Instagramu prijavil hrošča, zaradi katerega podatki ostanejo tudi po izbrisu, le skriti. Ta mesec je prejel 6000 dolarjev nagrade in obvestilo Instagrama, da so težavo odpravili. Ali so res uvedli brisanje datotek ali pa so samo bolje nastavili, kaj se res briše, ni znano. Instagram seveda ni edini, ki se mu je pripetilo daljše hranjenje izbrisanih vsebin.

18 komentarjev

secops ::

Načeloma je pristop "iz baze se ne briše" dokaj uveljavljen. Ko uporabnik izbriše nek objekt, se le-temu samo nastavi atribut "izbrisano" na True.

korenje3 ::

secops je izjavil:

Načeloma je pristop "iz baze se ne briše" dokaj uveljavljen. Ko uporabnik izbriše nek objekt, se le-temu samo nastavi atribut "izbrisano" na True.


Novica je pomembna zato, ker je to protizakonito v evropi.
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

HotBurek ::

Hrošč so popravili tako, da so na gdpr reportu dodali en pogoj in teh slik v prihodnjih reportih ne bo več.

Banda mafijska & oglasno sporočilo.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Ales ::

Kršiš zakon, dokler te ne ujamejo in potem to pripišeš nenamernemu hrošču... Dobra!

Potem to delno vpliva tudi na morebitni sodni pregon, motiv, pa to.

Angelčki tile pri Instagramu, ni kaj.

SeMiNeSanja ::

korenje3 je izjavil:

secops je izjavil:

Načeloma je pristop "iz baze se ne briše" dokaj uveljavljen. Ko uporabnik izbriše nek objekt, se le-temu samo nastavi atribut "izbrisano" na True.


Novica je pomembna zato, ker je to protizakonito v evropi.

Samo ko pa uporabnik nekaj pomotoma pobriše, je pa cela štala, ko hoče, da se mu to povrne!

Kaj pa v primeru, da fašeš nek izsiljevalski virus, ki briše po cloud storage-u? Kakšen vik in krik bi bil, če bi bile datoteke nepreklicno fuč?

Kako naj zdaj nek sistem ve, ali si datoteko zbrisal namerno ali po nesreči, da bo lahko ugodil obema - 'zakonodaji' in tvoji 'uporabniški želji'?
Tudi če je uporabnik podpisal, da se hranijo zgodovinske kopije - ko na koncu pa vendarle namerno briše neke podatke, mu spet ne bo prav, da ti ne bodo nemudoma 'izpuhteli'...

V bistvu nikakor ne moreš naresti prav za vse, pa če se še tako trudiš....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Praskalec ::

korenje3 je izjavil:

secops je izjavil:

Načeloma je pristop "iz baze se ne briše" dokaj uveljavljen. Ko uporabnik izbriše nek objekt, se le-temu samo nastavi atribut "izbrisano" na True.


Novica je pomembna zato, ker je to protizakonito v evropi.

Nisem pravnik ali karkoli podobnega, samo razmišljam kaj se mi zdi smiselno:
Ni to samo za osebne podatke? Zdi se mi, da je ta praksa čisto sprejemljiva, dokler se uporabnik zaveda, da s to akcijo podatki niso zares izbrisani in jih lahko izbriše na drug način (email na support, gumb v account settingih ipd.).

black ice ::

Clovek bi razumel, da se na medovernet cudijo soft delete ne pa na ST.
Druga stvar je izbris po GDPR. Resno mislite, da nekdo (z)brise vse vrstice v vseh bazah na vseh mikroservicih, logging in ostalih 3rd party sistemih? Jok brate.

korenje3 ::

Praskalec je izjavil:

korenje3 je izjavil:

secops je izjavil:

Načeloma je pristop "iz baze se ne briše" dokaj uveljavljen. Ko uporabnik izbriše nek objekt, se le-temu samo nastavi atribut "izbrisano" na True.


Novica je pomembna zato, ker je to protizakonito v evropi.

Nisem pravnik ali karkoli podobnega, samo razmišljam kaj se mi zdi smiselno:
Ni to samo za osebne podatke? Zdi se mi, da je ta praksa čisto sprejemljiva, dokler se uporabnik zaveda, da s to akcijo podatki niso zares izbrisani in jih lahko izbriše na drug način (email na support, gumb v account settingih ipd.).


Mislim da so z zakonom "pravica do izbrisa" to uredili.
Recimo slo-tech deluje protizakonito, ker ne omogoča brisanja lastnih sporočil.

edit: sicer ko berem sedaj tole vidim da verjetno velja samo za osebne podatke...
Pentium I7 3770k@4,5Ghz; 16GB RAM@2133MHz; ASUS Radeon 6850 1GB;
SSD Kingston hyperX 240GB; 30" HPZR30w monitor;
BeQuiet! E9 580W; http://www.the-nox.com

Zgodovina sprememb…

  • spremenil: korenje3 ()

SeMiNeSanja ::

korenje3 je izjavil:

Mislim da so z zakonom "pravica do izbrisa" to uredili.
Recimo slo-tech deluje protizakonito, ker ne omogoča brisanja lastnih sporočil.

edit: sicer ko berem sedaj tole vidim da verjetno velja samo za osebne podatke...

Če smo hudo pikolovski, je tudi to, kar si napisal, na nek način osebni podatek!

Vsakdo ima svoj slog pisanja, tako da je vsako besedilo, ki ga napišeš, neke vrste prstni odtis osebe. Obstaja cela znanost, ki se ukvarja s tem področjem. Če se ne motim, se te znanosti tudi kriminalistična forenzika rada posluži.

Če je torej tvoje pisanje tvoj 'prstni odtis' (in dejansko slog presneto težko spremeniš), bi ga morali torej obravnavati podobno kot dejanski prstni odtis ali druge biometrične podatke.

Toda kaj nam potem še ostane, če smo tako pikolovski?
Definitivno nebi mogel zahtevati, da naj se briše le določen prispevek, saj vsi ostali ravno tako predstavljajo tvoj 'prstni odtis'.

Torej smo pri vse ali nič?
Potem se pa že počasi sprašuješ, čemu sploh pišeš na forum in 'puščaš sledi'....
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

billy ::

Kaj šele pravica do izbrisa citiranih sporočil?

Ali pa sploh pravica do citiranja sporočila, je tako trivialna kot se nam zdi?

DexterBoy ::

Joup, PREVEČ smo pikolovski ;)
Format base: All Objects; TRUE, pa gremo dalje..
Fotkiče v roke pa pot pod noge v naravo ustvarjati vsebine!
Ne pa biti mentalni retard in samo konzumirati vsebine!
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
http://www.avtofil.si/

Messiah ::

SeMiNeSanja je izjavil:


Definitivno nebi mogel zahtevati, da naj se briše le določen prispevek, saj vsi ostali ravno tako predstavljajo tvoj 'prstni odtis'.



Drži. Slo-tech bi moral omogočiti izbris računa. Tak orwelovski režim, kot ga imamo zdaj, mi niti najmanj ne diši.
https://tinyurl.com/y6a33u76

Zgodovina sprememb…

  • spremenilo: Messiah ()

c3p0 ::

SeMiNeSanja je izjavil:


Samo ko pa uporabnik nekaj pomotoma pobriše, je pa cela štala, ko hoče, da se mu to povrne!

Kaj pa v primeru, da fašeš nek izsiljevalski virus, ki briše po cloud storage-u? Kakšen vik in krik bi bil, če bi bile datoteke nepreklicno fuč?

Kako naj zdaj nek sistem ve, ali si datoteko zbrisal namerno ali po nesreči, da bo lahko ugodil obema - 'zakonodaji' in tvoji 'uporabniški želji'?
Tudi če je uporabnik podpisal, da se hranijo zgodovinske kopije - ko na koncu pa vendarle namerno briše neke podatke, mu spet ne bo prav, da ti ne bodo nemudoma 'izpuhteli'...

V bistvu nikakor ne moreš naresti prav za vse, pa če se še tako trudiš....


Za to obstajajo ToS, v katerih mora vse biti navedeno. Boš rekel, da pomotoma brišeš datoteko iz cloud storaga, nato pa težiš googlu, naj ti jo povrne? Pokličeš na njihov hotline?

Za multi-versioning pa obstajajo rules, ki jih lahko sam nastaviš. Ko enkrat datoteko dokončno pobrišeš, pa mora biti v doglednem času zares pobrisana, iz vseh strežnikov.

FireSnake ::

SeMiNeSanja je izjavil:


Kako naj zdaj nek sistem ve, ali si datoteko zbrisal namerno ali po nesreči


Sistem ne more zaščititi neumnega uporabnika.
Če brišeš, brišeš!
Če ne veš, kaj delaš si pa sam kriv.
Hipatij je moški, ne nasedajte provokacijam!
Uživa, ko igra feministko in vas trola.
Dokaze o razgaljenju imate v temi s pritožbami (Matthai se je žrtoval za vas).

winterriver ::

Ales je izjavil:

Kršiš zakon, dokler te ne ujamejo in potem to pripišeš nenamernemu hrošču... Dobra!

Potem to delno vpliva tudi na morebitni sodni pregon, motiv, pa to.

Angelčki tile pri Instagramu, ni kaj.


Ah to je sele vrh ledene gore, vsi te reporti o leakanih podatkih kot posledica vdora... Japajade.
Eat shit, millions of flies can't be wrong.

Invictus ::

Instagram slik ne briše zaradi enega zelo preprostega razloga (enako kot Gmail ne emailov).

Delete operacija na bazi je preprosto preveč potratna, da bi se jim splačalo. Ceneje je dokupiti diske in povečati plac...

Zato jih najbrž samo tagajo kot izbrisane, kar pa še vedno pomeni, da so dostopne.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

winterriver ::

Invictus je izjavil:

Instagram slik ne briše zaradi enega zelo preprostega razloga (enako kot Gmail ne emailov).


In potem svizec zavije cokolado... ne. Ne brisejo jih iz enakega razloga kot gmail ne emailov in kot fitbit ne zdravstvnih podatkov naivcev, ki so jim jih prodali. Ker racunajo, da lahko v prihodnosti z njimi zasluzijo. Ne vejo se kako ali sploh samo skodi ne.

In wipanja slike iz "baze" ni nic bolj potratno kot nalaganje slike. Lahko bi prepisali z nulami. Seveda pa iz zgornjega razloga tega ne pocnejo.
Eat shit, millions of flies can't be wrong.

Zgodovina sprememb…

AštiriL ::

In wipanja slike iz "baze" ni nic bolj potratno kot nalaganje slike. Lahko bi prepisali z nulami. Seveda pa iz zgornjega razloga tega ne pocnejo.


Res je, ampak zakaj bi brisali/prepisovali z nulami? Vedno obstaja izgovor. Tudi izbris iz HDDja ne prepiše informacije z nulami. Pojavlja se problem. Velike firme hranijo (backup) podatke na kasetah, ker je ceneje, a počasneje za dostopanje. Kaj imajo od tega, da izbrišejo tvoje podatke? Zakaj bi robot porabil tri sekunde, da vzame kaseto z enim 20kB emailom, jo prevrti in prepiše z nulami? Neumno.

Veliko ceneje bi bilo podatke ohraniti na kaseti. Vendar kako to narediti v skladu z zakoni? Preprosto. Vsak zapis na kaseti naj bo šifriran, ključ pa lahko dostopen. Če uporabnik hoče izbris, pač pobrišeš ta ključ.

Ja, tudi iz diskov ni poceni brisat, ampak šifrirne ključe pa je, ker so kratki.

Kar pa se tiče slotecha: Slotech je legalen. Profil lahko zbrišeš. Po GDPR pa ST, da obdrži tok niti pogovora neke forum teme, ni dolžen brisati teksta iz objav, niti ni dolžen brisati uporabniskih imen iz citatov. TAK je zakon, pozanimajte se preden blatite ST.
-- na ST se uporabnike med seboj tika.
https://ž.ga/


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Hekerji vdrli v več sto računov na Instagramu

Oddelek: Novice / Varnost
204289 (1960) slitkx
»

Instagram odslej tudi za videoposnetke

Oddelek: Novice / Omrežja / internet
284513 (3679) djurodrljaca
»

Instagram izgubil polovico uporabnikov

Oddelek: Novice / Omrežja / internet
205844 (3655) Unknown_001
»

Facebook prevzel Instagram

Oddelek: Novice / Nakupi / združitve / propadi
329194 (7006) gruntfürmich
»

Instagram prihaja na Android

Oddelek: Novice / Android
338776 (5769) svenica

Več podobnih tem