Una investigación de seguridad independiente comprobó que Instagram almacenó en sus servidores publicaciones como fotos, videos y mensajes que los usuarios borraron por hasta un año con poco o nulo nivel de seguridad.
El investigador de seguridad informática Saugat Pokharel fue quien descubrió la retención de información. Pokharel descubrió la falla de seguridad tras descargar su información de Instagram y ver que en el archivo descargado se incluían mensajes y publicaciones que ya «no existían».
En sus políticas de seguridad y privacidad, Instagram asegura que los datos eliminados no se borran del todo de inmediato y pueden llegar a estar en sus servidores por no más de 90 días. Instagram dijo que fue un bug lo que causó que la información permaneciera en sus servidores hasta por un año. La red social ha manifestado sus disculpas a TechCrunch, que habló con representantes de la red social y con el investigador.
Tras el hallazgo de este bug, Instagram premió a Pokharel con una recompensa de US$6,000 como parte del programa de recompensas a personas que encuentren fallos de seguridad en la aplicación. La parte negativa es que el bug fue localizado por Pokharel desde 2019, pero Instagram lo corrigió apenas este mes.
Usualmente, los servicios en Internet no son capaces de eliminar la información de forma inmediata de sus servidores. Cuando un usuario elimina su información, esta puede quedarse en los servidores por temas de caché. Por ello, las empresas dan un periodo de entre 30 y 90 días para eliminar la información por completo.