Sicherheitslücke: Instagram zeigt Passwörter im Klartext

So waren die Passwörter sichtbar

Im April dieses Jahres hat Instagram das Tool „Download your data“ implementiert. Instagram will so die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Nutzer können seitdem ihre bei Instagram gespeicherten Daten herunterladen. Diese Funktion erwies sich jetzt jedoch als Datenpanne. Meldeten sich User bei dem DSGVO-Tool an, zeigte Instagram ihr Passwort im Klartext in der URL an. So war das Passwort dann auch auf Facebooks Servern gespeichert.

Instagram entdeckt Lücke

Instagram hat die Datenlücke selbst entdeckt und mittlerweile behoben. Das Unternehmen ließ wissen, dass es das Tool aktualisiert und die Passwörter auf den Servern gelöscht habe. Das Leck ist damit beseitigt.

So viele Nutzer waren betroffen

Instagram gab an, dass nur sehr wenige Nutzer von der Sicherheitslücke betroffen gewesen sein sollen. Diese habe das Unternehmen informiert und gebeten, ihr Passwort zurückzusetzen. Unklar ist bisher noch, wie lange die Passwörter einsehbar und warum nicht alle Nutzer betroffen waren. Denn: Das Speichern der Passwörter im Klartext auf den Facebook-Servern dürfte im DSGVO-Tool implementiert gewesen sein. Die Folge: Eigentlich hätten alle Nutzer betroffen sein müssen. Instagram gab jedoch an, dass Facebook nur Hashes der Passwörter speichere.

Wie wahrscheinlich ist ein Passwortdiebstahl?

Ein Passwort-Diebstahl durch Dritte ist unwahrscheinlich. Ein Restrisiko besteht jedoch, da einige Webbrowser die Surf-Historie und damit auch Nutzerpasswörter gespeichert haben könnten.

Praxis-Tipp

User, die das DSGVO-Tool nicht verwendet haben, sind nicht von der Sicherheitslücke betroffen. Alle anderen sollten – wie bereits von Instagram empfohlen – ihr Passwort ändern. Zudem sollten sie die Zwei-Faktor-Identifizierung aktivieren. Dritte können sich dann auch bei bekanntem Passwort nicht in den Account einloggen.