Независимый эксперт по безопасности Саугат Покхарел обнаружил баг в Instagram: удалённые пользователем личные сообщения и фотографии не уничтожаются с серверов.

Пользователь соцсети воспользовался функцией «Скачивание данных», которая появилась в 2018 году для соблюдения принятого в Евросоюзе Общего регламента по защите данных (GDPR). Instagram ему выслал архив в том числе с фотографиями и личными сообщениями, которые он удалил ранее.

Instagram уточняет, что для полного уничтожения информации со всех систем и кэшей требуется до 90 дней. Но Покхарел обнаружил контент, стёртый им более года назад.

Instagram не удалил мои данные, даже когда я стёр их со своей стороны, — Саугат Покхарел

Специалист сообщил об ошибке через программу по поиску багов Bug Bounty в октябре 2019 года. По его словам, окончательно она устранена в начале августа этого года.

В Instagram заявили, что избавились от проблемы и не обнаружили доказательств злоупотреблений. Покхарел получил вознаграждение по Bug Bounty в размере 6000 долларов.