Instagram: DSGVO-Tool verriet Nutzerpasswörter im Klartext
Über das Tool „Download your data“ können bei Instagram die Daten des Nutzers nach der DSVGO heruntergeladen werden. Wie der Mutterkonzern Facebook nun mitteilte, sorgte eine Datenschutzpanne bei genau diesem Vorgang dafür, dass das eigene Passwort im Klartext angezeigt und damit theoretisch kompromittiert werden konnte.
DSGVO-Tool kompromittiert Passwort von Instagram
Die EU-DSGVO (Datenschutz-Grundverordnung) sieht vor, dass die eigenen Informationen von jeder Webseite einfacher einsehbar sind. Instagram wollte mit einem eigenen Tool dieser Forderung nachkommen und bot über „Download your data“ eine entsprechende Funktion an. Damit soll es den Anwendern ermöglicht werden, einfach an die von Instagram gespeicherten persönlichen Daten zu gelangen. Bedingt durch eine Sicherheitslücke wurde bei der Abfrage allerdings das eigene Passwort im Klartext als Teil der URL übermittelt und damit potenziell kompromittiert.
Wie das Unternehmen gegenüber The Verge mitteilte, hätten nur sehr wenige Anwender eine Auskunft der Daten über das Tool in Anspruch genommen und seien somit von dem Problem betroffen. Konkrete Zahlen zu den Betroffenen wurden von Instagram allerdings nicht veröffentlicht.
Ausmaß des Datenlecks noch unklar
Während Instagram versichert, dass nur wenige Anwender das Tool genutzt hätten, bleibt die Frage offen, wie das eigene Passwort überhaupt bei Instagram gespeichert wird. Facebook und Instagram soll die Passwörter der Nutzer als Hashes, also als Streuwertfunktion und damit einer Abbildung des eigentlichen Passwortes speichern.
Das Tool zum Herunterladen der personenbezogenen Daten wurde von Instagram bereits überarbeitet und soll die Sicherheitslücke nun nicht mehr aufweisen. Instagram hatte erst kürzlich mit einer 2-Faktor-Authentifizierung und einer Kontoverifizierung die Sicherheit des Dienstes und der Nutzerkonten verbessert. In der Vergangenheit musste das Unternehmen bereits Kritik für ortsbezogene Facebook-Werbung anhand der Standortdaten der über Instagram hochgeladenen Bilder und der damit einhergehenden Verknüpfung beider Dienste einstecken.