Im Gegensatz zum Mutterunternehmen Facebook macht Instagram keine regelmäßigen Negativ-Schlagzeilen. Jetzt hat es allerdings auch das Bildernetzwerk erwischt: Nutzerpasswörter waren im Klartext in der Browser-URL einsehbar. Wie viele User waren betroffen? Und wie kam es zu der Sicherheitslücke?
So waren die Passwörter sichtbar
Im April dieses Jahres hat Instagram das Tool „Download your data“ implementiert. Instagram will so die Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Nutzer können seitdem ihre bei Instagram gespeicherten Daten herunterladen. Diese Funktion erwies sich jetzt jedoch als Datenpanne. Meldeten sich User bei dem DSGVO-Tool an, zeigte Instagram ihr Passwort im Klartext in der URL an. So war das Passwort dann auch auf Facebooks Servern gespeichert.
Instagram entdeckt Lücke
Instagram hat die Datenlücke selbst entdeckt und mittlerweile behoben. Das Unternehmen ließ wissen, dass es das Tool aktualisiert und die Passwörter auf den Servern gelöscht habe. Das Leck ist damit beseitigt.
So viele Nutzer waren betroffen
Instagram gab an, dass nur sehr wenige Nutzer von der Sicherheitslücke betroffen gewesen sein sollen. Diese habe das Unternehmen informiert und gebeten, ihr Passwort zurückzusetzen. Unklar ist bisher noch, wie lange die Passwörter einsehbar und warum nicht alle Nutzer betroffen waren. Denn: Das Speichern der Passwörter im Klartext auf den Facebook-Servern dürfte im DSGVO-Tool implementiert gewesen sein. Die Folge: Eigentlich hätten alle Nutzer betroffen sein müssen. Instagram gab jedoch an, dass Facebook nur Hashes der Passwörter speichere.
Wie wahrscheinlich ist ein Passwortdiebstahl?
Ein Passwort-Diebstahl durch Dritte ist unwahrscheinlich. Ein Restrisiko besteht jedoch, da einige Webbrowser die Surf-Historie und damit auch Nutzerpasswörter gespeichert haben könnten.
Praxis-Tipp
User, die das DSGVO-Tool nicht verwendet haben, sind nicht von der Sicherheitslücke betroffen. Alle anderen sollten – wie bereits von Instagram empfohlen – ihr Passwort ändern. Zudem sollten sie die Zwei-Faktor-Identifizierung aktivieren. Dritte können sich dann auch bei bekanntem Passwort nicht in den Account einloggen.
Anzeige




