Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 20.11.2018

Instagram-Sicherheitslücke wirft Fragen auf

Ein Artikel von Stefan Mey, veröffentlicht am 20.11.2018

Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?

Bei Instagram hat es eine Sicherheitslücke gegeben, das hat das Unternehmen einigen Nutzern mitgeteilt. Darüber berichtete ursprünglich das US-Onlinemagazin "The Information" (der Artikel steht hinter einer Zugangsschranke).

Was war passiert? Bei der Verwendung des Instagram-Tools "Daten-Download" haben Nutzer vom Dienst eine Webadresse zum Herunterladen der Daten erhalten. Dieser Link allerdings enthielt das Passwort ihres Instagram-Kontos im Klartext.

Auf dieser Hilfeseite erklärt Instagram, wie Nutzer im Browser und in der App den Download ihrer Daten anfordern können.

Der Vorfall stellte zum einen ein potenzielles Sicherheitsrisiko dar. Denn jeder Link, den man öffnet, wird in der Regel im Browser-Verlauf abgespeichert. Jeder, der Zugang zum eigenen Browser hat, könnte damit theoretisch das Instagram-Passwort erfahren.

Datensicherheit bei Instagram?

Zum anderen wirft der Vorfall Fragen nach der Datensicherheit bei der Facebook-Tochter Instagram auf. Zum allgemein anerkannten Sicherheitsstandard gehört, dass IT-Unternehmen Passwörter nicht im Klartext ablegen, sondern nur in Form kryptischer Zeichenketten, sogenannter Hashwerte.

Hashwerte entstehen, indem der ursprüngliche Wert durch bestimmte Rechenoperationen umgewandelt wird. Diese Rechenoperationen sind so gewählt, dass ein Ursprungswert stets denselben "Hash"-Wert ergibt, dieser jedoch nicht zurückgerechnet werden kann.

Wenn Nutzer beim Einloggen ihr jeweiliges Passwort angeben, kann das Unternehmen überprüfen, ob es zum hinterlegten Hashwert passt. Es ist jedoch unmöglich, aus dem Hashwert das Passwort zu rekonstruieren. Sollten Nutzerdaten etwa durch Cyberattacken in die Hände von Unbefugten geraten, erbeuten Cyberkriminelle nur die Hashes. Sie kommen nicht an die konkreten Passwörter, da die eben nicht im Klartext auf den Datenbanken liegen.

Wie konnte Instagram überhaupt in der Lage sein, die Passwörter im Klartext in eine Webadresse zu schreiben? Beim verschlüsselten Speichern nach Eingabe des Passworts durch Nutzer muss ein Fehler passiert sein. Das Fachmagazin Heise online schreibt dazu:

Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall.

Noch ist nichts weiter über die Hintergründe der Sicherheitslücke bekannt. Hat Instagram tatsächlich Passwörter unverschlüsselt auf seinen Datenbanken gespeichert? Oder hat die von Instagram verwendete Technik das Passwort einfach irrtümlicherweise in die Webadresse geschrieben, nachdem Nutzer ihr Passwort bei der Verwendung des Download-Tools eingegeben haben?

Wie das IT-Magazin The Verge berichtet, hat Instagram mitgeteilt, dass das Problem intern vom Unternehmen selbst bemerkt worden sei. Es sei nur „eine sehr kleine Zahl an Nutzern“ betroffen gewesen und man habe die Sicherheitslücke mittlerweile behoben.

Instagram-Nutzern, die auf Nummer Sicher gehen wollen, empfehlen wir, ihr Passwort zu ändern.

Weitere Artikel

App-Test 

CCleaner-App: Werbeschleuder mit wenig Mehrwert

Die App CCleaner verspricht, das Smartphone zu optimieren. Der Preis dafür ist hoch: Sechs Werbeanbieter können Daten aus der App erhalten, darunter auch Informationen über Ihren Standort. Zudem fordert sie heikle Berechtigungen.

Mehr
Ratgeber 

Rooten und Jailbreak – Erlischt die Gewährleistung?

Wer einen PC kauft, der darf dort jedes passende Betriebssystem installieren. Auch bei Smartphones kann man die Systemsoftware verändern – allerdings ist die Rechtslage nicht so eindeutig. Denn die Hersteller sehen „Jailbreak“ und „Rooten“ gar nicht gerne.

Mehr
Ratgeber 

Weg mit der Fernbedienung: Gratis Apps machen dein Handy zur TV-Tastatur

Nichts ist nerviger als die Tastatureingabe per Steuerkreuz. Mit unserer Anleitung klappt das viel einfacher. Die Fernbedienung kann dann weg.

Mehr
Ratgeber 

Freie Betriebssysteme: Freiheit fürs Smartphone

Die beiden großen mobilen Betriebssysteme sind Android von Google und iOS von Apple. Daneben gibt es viele freie Projekte, die ohne ein großes Unternehmen im Rücken Software bereitstellen. Doch wie funktioniert das und was steht zur Auswahl? Unser Überblick.

Mehr