Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsInstagram: DSGVO-Tool verriet Nutzerpasswörter im Klartext
Über das Tool „Download your data“ können bei Instagram die Daten des Nutzers nach der DSVGO heruntergeladen werden. Wie der Mutterkonzern Facebook nun mitteilte, sorgte eine Datenschutzpanne bei genau diesem Vorgang dafür, dass das eigene Passwort im Klartext angezeigt und damit theoretisch kompromittiert werden konnte.
Zuerst machte das ganze den Eindruck, dass die DSGVO selbst zu einer Sicherheitslücke führt oder das es da ein offizielles Tool gebe.
Dabei hat mal wieder nur jemand sich Dumm angestellt ein Stück Software umzusetzen. Passiert jeden Tag doch Tausendmal, aber hier ist ja mal wieder die DSGVO im Visier. Das diese dem Bürger massiv Rechte einräumt und man den Weg der Daten endlich verfolgen kann wird wieder mal nicht erwähnt
Feed the "DSGVO- nur Titelleser und diesen fehl-interpretier -HATER"
Instagram wollte mit einem eigenen Tool dieser Forderung nachkommen und bot über „Download your data“ eine entsprechende Funktion an. Damit soll es den Anwendern ermöglicht werden, einfach an die von Instagram gespeicherten persönlichen Daten zu gelangen. Bedingt durch eine Sicherheitslücke wurde bei der Abfrage allerdings das eigene Passwort im Klartext als Teil der URL übermittelt und damit potenziell kompromittiert.
Und wieder ein Datenleck bei einem Facebook Angebot. Mr. Karottenkopf sollte seine Wut von Amazon mal auf Facebook umlenken. Denen würde eine Zerschlagung mindestens genauso gut tun... Aber dafür müsste Zucki erstmal gegen Trump austeilen vermute ich.
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...
Man stelle sich mal vor, eine Bank oder irgendeine andere privatwirschaftliche Einrichtung, die sensible Informationen ihrer Kunden verwaltet, würde ein neues Hauptgebäude errichten und dabei im Erdgeschoss einfach alle Türen und Fenster einzubauen vergessen, so dass geschickte Leute bei der passenden Gelegenheit ein- und ausgehen und die vorhandenen Bestände raustragen könnten. Was wäre das für ein Skandal! Das Unternehmen hätte innerhalb kürzester Zeit große Umsatzeinbußen zu verzeichnen.
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.
Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.
>Während Instagram versichert, dass nur wenige Anwender das Tool genutzt hätten, bleibt die Frage offen, wie das eigene Passwort überhaupt bei Instagram gespeichert wird.<
So das die Admins und die NSA es im Klartext lesen kann offensichtlich. Ich sage da nur: ,,Selbst schuld wenn man solche Bevölkerungsüberwachungsseiten benutzt.``
Spätestens seit den Snowden-Veröffentlichungen kann sich kein Geschädigter mehr damit herausreden, von der Gefahr nichts gewusst zu haben. Wer solche Dienste wie Facebook, WhatsApp, Instagram, Twitter und Co. nutzt der macht sich halt wissentlich selbst zum Opfer.
Solche Datenpannen hier sind da auch nur die Spitze des Eisbergs. Ich sage da nur psychologische Experimente an Nutzern bei Facebook oder etwa Cambridge Analytica.
Ueberschrift, cb-typisch, Clickbait erster Ordnung.
Instagram hat gefuscht.
Mit keiner Silbe wird das aber in die Ueberschrift gestellt, da DSGVO-haten einfach mehr Klicks versprechen.
Sorry Leute, das ist nicht in Ordnung.
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...
Lesen. Das Passwort wurde bei der HTTP-Anfrage für den Login an die URL, unter der der Download des Datensatzes bereitgestellt wird, im Klartext übermittelt. D.h. wahrscheinlich als unverschlüsselter GET-Parameter in der URL oder als POST-Parameter im unverschlüsselten HTTP-Body. Trotzdem täte IG gut daran, das Teil vorher zu hashen und auf dem Server nur die Hashes zu vergleichen.
Das hat nichts mit der Speicherung des Passworts zu tun. Im Text steht ja auch, dass das Passwort bei FB/IG als salted Hash gespeichert wird.
flappes schrieb:
Klartext? 2018? Salted-Hash noch nie gehört? OMG Stümper, egal ob Frickelbude oder Milliardenunternehmen, überall Stümper.
Das erklärlichste Szenario ist, dass ein Entwickler es verschusselt hat, ein "s" an das "http" zu hängen, passiert schnell, auch den besten. Aber recht gebe ich dir insoweit, dass das bei so einer Nutzerzahl dreifach überprüft werden sollte, bevor es live geht. Und außerdem unverschlüsselte HTTP-Requests vom Instagram-Server grundsätzlich abgelehnt werden, dann fällt so was auch schon beim Test auf. (Ich hoffe doch sehr dass die ihren Mist testen )
Genau deswegen sollten Server richtig konfiguriert sein. Wäre er das, würden die Server für sensible Daten gar nicht auf nicht-sichere Anfragen reagieren, der Fehler wäre also sofort aufgefallen (falls er so ist, wie vermutet)
Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.
ja... erst Ende letzte Woche... Wurde mein neu angelegtes Insta-Konto kurzerhand von Russen übernommen... Innerhalb weniger Sekunden Email Benachrichtigungen über Wechsel von Passwort und E-Mail Adresse bekommen... keine Ahnung wie die an die Daten gekommen sind.
Is jetzt kein Drama, konnte es gleich wieder Rückgängig machen die Änderungen und Instagram ist ja jetzt nichts groß sensibles für mich, aber verwundert war ich schon etwas.