Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
News vom 20.11.2018

Instagram-Sicherheitslücke wirft Fragen auf

Ein Artikel von , veröffentlicht am 20.11.2018

Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?

Bei Instagram hat es eine Sicherheitslücke gegeben, das hat das Unternehmen einigen Nutzern mitgeteilt. Darüber berichtete ursprünglich das US-Onlinemagazin "The Information" (der Artikel steht hinter einer Zugangsschranke).

Was war passiert? Bei der Verwendung des Instagram-Tools "Daten-Download" haben Nutzer vom Dienst eine Webadresse zum Herunterladen der Daten erhalten. Dieser Link allerdings enthielt das Passwort ihres Instagram-Kontos im Klartext.

Auf dieser Hilfeseite erklärt Instagram, wie Nutzer im Browser und in der App den Download ihrer Daten anfordern können.

Der Vorfall stellte zum einen ein potenzielles Sicherheitsrisiko dar. Denn jeder Link, den man öffnet, wird in der Regel im Browser-Verlauf abgespeichert. Jeder, der Zugang zum eigenen Browser hat, könnte damit theoretisch das Instagram-Passwort erfahren.

Datensicherheit bei Instagram?

Zum anderen wirft der Vorfall Fragen nach der Datensicherheit bei der Facebook-Tochter Instagram auf. Zum allgemein anerkannten Sicherheitsstandard gehört, dass IT-Unternehmen Passwörter nicht im Klartext ablegen, sondern nur in Form kryptischer Zeichenketten, sogenannter Hashwerte.

Hashwerte entstehen, indem der ursprüngliche Wert durch bestimmte Rechenoperationen umgewandelt wird. Diese Rechenoperationen sind so gewählt, dass ein Ursprungswert stets denselben "Hash"-Wert ergibt, dieser jedoch nicht zurückgerechnet werden kann.

Wenn Nutzer beim Einloggen ihr jeweiliges Passwort angeben, kann das Unternehmen überprüfen, ob es zum hinterlegten Hashwert passt. Es ist jedoch unmöglich, aus dem Hashwert das Passwort zu rekonstruieren. Sollten Nutzerdaten etwa durch Cyberattacken in die Hände von Unbefugten geraten, erbeuten Cyberkriminelle nur die Hashes. Sie kommen nicht an die konkreten Passwörter, da die eben nicht im Klartext auf den Datenbanken liegen.

Wie konnte Instagram überhaupt in der Lage sein, die Passwörter im Klartext in eine Webadresse zu schreiben? Beim verschlüsselten Speichern nach Eingabe des Passworts durch Nutzer muss ein Fehler passiert sein. Das Fachmagazin Heise online schreibt dazu:

Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall.

Noch ist nichts weiter über die Hintergründe der Sicherheitslücke bekannt. Hat Instagram tatsächlich Passwörter unverschlüsselt auf seinen Datenbanken gespeichert? Oder hat die von Instagram verwendete Technik das Passwort einfach irrtümlicherweise in die Webadresse geschrieben, nachdem Nutzer ihr Passwort bei der Verwendung des Download-Tools eingegeben haben?

Wie das IT-Magazin The Verge berichtet, hat Instagram mitgeteilt, dass das Problem intern vom Unternehmen selbst bemerkt worden sei. Es sei nur „eine sehr kleine Zahl an Nutzern“ betroffen gewesen und man habe die Sicherheitslücke mittlerweile behoben.

Instagram-Nutzern, die auf Nummer Sicher gehen wollen, empfehlen wir, ihr Passwort zu ändern.

Weitere Artikel

YouTube-Video 

Handy für Kinder beschränken – so geht’s! mobil & safe

Ein Smartphone kann ganz schön viel - manchmal vielleicht zu viel. Vor allem, wenn man das Gerät einem Kind in die Hand geben will. Wir empfehlen die Kindersicherungs-Apps TimeLimit für Android und Bildschirmzeit für iPhones.

Ansehen
Ratgeber 

Sicherheit bei Apples iOS9

Das aktuelle Betriebssystem für iPhones und iPads ist iOS9. Apple hat ihm zahlreiche Funktionen und Einstellungsmöglichkeiten zu Datenschutz und Datensicherheit verpasst. Ein Überblick.

Mehr
Ratgeber 

App-Store Aptoide: Alternative mit Fallstricken

Aptoide ist nach eigenen Angaben der größte Marktplatz für Android-Apps nach Google Play. Vielen gilt er als Sammelbecken für Raubkopien und Schadsoftware, anderen als einzige Rettung vor Google. Wie sieht es in Aptoide wirklich aus? Wir haben den Store für Sie erkundet.

Mehr
YouTube-Video 

Displaykratzer loswerden

Displaykratzer sind ärgerlich. Aber ist es wirklich eine gute Idee, sein Handy mit Zahnpasta zu putzen? Was ihr stattdessen tun könnt.

Ansehen