News vom 20.11.2018

Instagram-Sicherheitslücke wirft Fragen auf

Ein Artikel von , veröffentlicht am 20.11.2018

Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?

Bei Instagram hat es eine Sicherheitslücke gegeben, das hat das Unternehmen einigen Nutzern mitgeteilt. Darüber berichtete ursprünglich das US-Onlinemagazin "The Information" (der Artikel steht hinter einer Zugangsschranke).

Was war passiert? Bei der Verwendung des Instagram-Tools "Daten-Download" haben Nutzer vom Dienst eine Webadresse zum Herunterladen der Daten erhalten. Dieser Link allerdings enthielt das Passwort ihres Instagram-Kontos im Klartext.

Auf dieser Hilfeseite erklärt Instagram, wie Nutzer im Browser und in der App den Download ihrer Daten anfordern können.

Der Vorfall stellte zum einen ein potenzielles Sicherheitsrisiko dar. Denn jeder Link, den man öffnet, wird in der Regel im Browser-Verlauf abgespeichert. Jeder, der Zugang zum eigenen Browser hat, könnte damit theoretisch das Instagram-Passwort erfahren.

Datensicherheit bei Instagram?

Zum anderen wirft der Vorfall Fragen nach der Datensicherheit bei der Facebook-Tochter Instagram auf. Zum allgemein anerkannten Sicherheitsstandard gehört, dass IT-Unternehmen Passwörter nicht im Klartext ablegen, sondern nur in Form kryptischer Zeichenketten, sogenannter Hashwerte.

Hashwerte entstehen, indem der ursprüngliche Wert durch bestimmte Rechenoperationen umgewandelt wird. Diese Rechenoperationen sind so gewählt, dass ein Ursprungswert stets denselben "Hash"-Wert ergibt, dieser jedoch nicht zurückgerechnet werden kann.

Wenn Nutzer beim Einloggen ihr jeweiliges Passwort angeben, kann das Unternehmen überprüfen, ob es zum hinterlegten Hashwert passt. Es ist jedoch unmöglich, aus dem Hashwert das Passwort zu rekonstruieren. Sollten Nutzerdaten etwa durch Cyberattacken in die Hände von Unbefugten geraten, erbeuten Cyberkriminelle nur die Hashes. Sie kommen nicht an die konkreten Passwörter, da die eben nicht im Klartext auf den Datenbanken liegen.

Wie konnte Instagram überhaupt in der Lage sein, die Passwörter im Klartext in eine Webadresse zu schreiben? Beim verschlüsselten Speichern nach Eingabe des Passworts durch Nutzer muss ein Fehler passiert sein. Das Fachmagazin Heise online schreibt dazu:

Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall.

Noch ist nichts weiter über die Hintergründe der Sicherheitslücke bekannt. Hat Instagram tatsächlich Passwörter unverschlüsselt auf seinen Datenbanken gespeichert? Oder hat die von Instagram verwendete Technik das Passwort einfach irrtümlicherweise in die Webadresse geschrieben, nachdem Nutzer ihr Passwort bei der Verwendung des Download-Tools eingegeben haben?

Wie das IT-Magazin The Verge berichtet, hat Instagram mitgeteilt, dass das Problem intern vom Unternehmen selbst bemerkt worden sei. Es sei nur „eine sehr kleine Zahl an Nutzern“ betroffen gewesen und man habe die Sicherheitslücke mittlerweile behoben.

Instagram-Nutzern, die auf Nummer Sicher gehen wollen, empfehlen wir, ihr Passwort zu ändern.

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Spyware & Überwachung 

IMSI-Catcher: So lassen sich Informationen übers Handynetz abfangen

Mit einem IMSI-Catcher lassen sich Handydaten über das Mobilfunknetz abfangen. Eingesetzt werden die Geräte zum Beispiel von Polizei und Geheimdiensten. Doch wer sich gut auskennt, kann so einen Spion auch selbst bauen. Wir erklären, was erlaubt ist und wie man sich schützen kann.

Mehr
YouTube-Video 

App Waze: Keine Alternative zu Google Maps

Die beliebte Navigations-App Waze gibt sich als Community-Projekt - jeder kann mitgestalten. Jeder für alle, alle für jeden. Dahinter steckt jedoch eine kommerzielle Firma. Und Google sitzt auch mit im Boot. Die Details erfahren Sie in unserem Video.

Ansehen
Google 

So sichern Sie Ihr Google-Konto ab

Das Google-Konto ist ein wichtiger Bestandteil jedes Android-Handys - es gibt zum Beispiel Zugang zu Gmail, YouTube und dem Play-Store. Wir empfehlen daher, das eigene Google-Konto gut abzusichern. Hier erfahren Sie, wie das geht.

Mehr
Kinder und Jugendliche 

Musical.ly: Unheimliche Parallelwelt im Kinderzimmer

Das soziale Netzwerk musical.ly beflügelt bei Kindern und Jugendlichen den Traum, selbst ein Popstar zu sein. Aber ist die Plattform zum Teilen selbstgedrehter Musikvideos harmlos? Ein Leserinnenhinweis führte uns in eine erschreckende Welt voll offener sexueller Nötigung von Mädchen.

Mehr