News vom 20.11.2018

Instagram-Sicherheitslücke wirft Fragen auf

Ein Artikel von , veröffentlicht am 20.11.2018

Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?

Bei Instagram hat es eine Sicherheitslücke gegeben, das hat das Unternehmen einigen Nutzern mitgeteilt. Darüber berichtete ursprünglich das US-Onlinemagazin "The Information" (der Artikel steht hinter einer Zugangsschranke).

Was war passiert? Bei der Verwendung des Instagram-Tools "Daten-Download" haben Nutzer vom Dienst eine Webadresse zum Herunterladen der Daten erhalten. Dieser Link allerdings enthielt das Passwort ihres Instagram-Kontos im Klartext.

Auf dieser Hilfeseite erklärt Instagram, wie Nutzer im Browser und in der App den Download ihrer Daten anfordern können.

Der Vorfall stellte zum einen ein potenzielles Sicherheitsrisiko dar. Denn jeder Link, den man öffnet, wird in der Regel im Browser-Verlauf abgespeichert. Jeder, der Zugang zum eigenen Browser hat, könnte damit theoretisch das Instagram-Passwort erfahren.

Datensicherheit bei Instagram?

Zum anderen wirft der Vorfall Fragen nach der Datensicherheit bei der Facebook-Tochter Instagram auf. Zum allgemein anerkannten Sicherheitsstandard gehört, dass IT-Unternehmen Passwörter nicht im Klartext ablegen, sondern nur in Form kryptischer Zeichenketten, sogenannter Hashwerte.

Hashwerte entstehen, indem der ursprüngliche Wert durch bestimmte Rechenoperationen umgewandelt wird. Diese Rechenoperationen sind so gewählt, dass ein Ursprungswert stets denselben "Hash"-Wert ergibt, dieser jedoch nicht zurückgerechnet werden kann.

Wenn Nutzer beim Einloggen ihr jeweiliges Passwort angeben, kann das Unternehmen überprüfen, ob es zum hinterlegten Hashwert passt. Es ist jedoch unmöglich, aus dem Hashwert das Passwort zu rekonstruieren. Sollten Nutzerdaten etwa durch Cyberattacken in die Hände von Unbefugten geraten, erbeuten Cyberkriminelle nur die Hashes. Sie kommen nicht an die konkreten Passwörter, da die eben nicht im Klartext auf den Datenbanken liegen.

Wie konnte Instagram überhaupt in der Lage sein, die Passwörter im Klartext in eine Webadresse zu schreiben? Beim verschlüsselten Speichern nach Eingabe des Passworts durch Nutzer muss ein Fehler passiert sein. Das Fachmagazin Heise online schreibt dazu:

Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall.

Noch ist nichts weiter über die Hintergründe der Sicherheitslücke bekannt. Hat Instagram tatsächlich Passwörter unverschlüsselt auf seinen Datenbanken gespeichert? Oder hat die von Instagram verwendete Technik das Passwort einfach irrtümlicherweise in die Webadresse geschrieben, nachdem Nutzer ihr Passwort bei der Verwendung des Download-Tools eingegeben haben?

Wie das IT-Magazin The Verge berichtet, hat Instagram mitgeteilt, dass das Problem intern vom Unternehmen selbst bemerkt worden sei. Es sei nur „eine sehr kleine Zahl an Nutzern“ betroffen gewesen und man habe die Sicherheitslücke mittlerweile behoben.

Instagram-Nutzern, die auf Nummer Sicher gehen wollen, empfehlen wir, ihr Passwort zu ändern.

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Samsung Kids einrichten – so geht’s

Sie haben ein Samsung-Handy mit Android 9 oder höher und wollen es ab und an Ihrem Kind in die Hand geben? Mit der App „Samsung Kids“ können Sie das Gerät so sichern, dass dabei kein Unglück geschieht. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
Ratgeber 

Facebook-Messenger wird sicherer – Fragen bleiben dennoch

Auf Mobilgeräten kümmert sich mit dem Facebook Messenger eine eigene App um Chats innerhalb des sozialen Netzwerks. Die App soll in Kürze eine Funktion zum Verschlüsseln aller Nachrichten mitbringen. Unklar bleibt, welche Informationen Facebook weiterhin auswertet.

Mehr
Ratgeber 

Apps des Monats – die spannendsten im August

E-Mails verschlüsseln, das Smartphone aufräumen und Apps auf Kinderhandys blockieren - das können unsere Apps des Monats August. Auch geht's mal wieder um WhatsApp und warum wir andere Messenger einfach besser finden.

Mehr
Ratgeber 

Anleitung: Synchronisierung mit Google-Konto stoppen (bis Android 12)

In der Standard-Einstellung synchronisiert Android unter anderem Kontakte und Kalender mit dem verknüpften Google-Konto. Wer seine Daten lieber nur auf dem Handy speichert, kann die Übertragung abschalten.

Mehr