News vom 20.11.2018

Instagram-Sicherheitslücke wirft Fragen auf

Ein Artikel von , veröffentlicht am 20.11.2018

Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?

Bei Instagram hat es eine Sicherheitslücke gegeben, das hat das Unternehmen einigen Nutzern mitgeteilt. Darüber berichtete ursprünglich das US-Onlinemagazin "The Information" (der Artikel steht hinter einer Zugangsschranke).

Was war passiert? Bei der Verwendung des Instagram-Tools "Daten-Download" haben Nutzer vom Dienst eine Webadresse zum Herunterladen der Daten erhalten. Dieser Link allerdings enthielt das Passwort ihres Instagram-Kontos im Klartext.

Auf dieser Hilfeseite erklärt Instagram, wie Nutzer im Browser und in der App den Download ihrer Daten anfordern können.

Der Vorfall stellte zum einen ein potenzielles Sicherheitsrisiko dar. Denn jeder Link, den man öffnet, wird in der Regel im Browser-Verlauf abgespeichert. Jeder, der Zugang zum eigenen Browser hat, könnte damit theoretisch das Instagram-Passwort erfahren.

Datensicherheit bei Instagram?

Zum anderen wirft der Vorfall Fragen nach der Datensicherheit bei der Facebook-Tochter Instagram auf. Zum allgemein anerkannten Sicherheitsstandard gehört, dass IT-Unternehmen Passwörter nicht im Klartext ablegen, sondern nur in Form kryptischer Zeichenketten, sogenannter Hashwerte.

Hashwerte entstehen, indem der ursprüngliche Wert durch bestimmte Rechenoperationen umgewandelt wird. Diese Rechenoperationen sind so gewählt, dass ein Ursprungswert stets denselben "Hash"-Wert ergibt, dieser jedoch nicht zurückgerechnet werden kann.

Wenn Nutzer beim Einloggen ihr jeweiliges Passwort angeben, kann das Unternehmen überprüfen, ob es zum hinterlegten Hashwert passt. Es ist jedoch unmöglich, aus dem Hashwert das Passwort zu rekonstruieren. Sollten Nutzerdaten etwa durch Cyberattacken in die Hände von Unbefugten geraten, erbeuten Cyberkriminelle nur die Hashes. Sie kommen nicht an die konkreten Passwörter, da die eben nicht im Klartext auf den Datenbanken liegen.

Wie konnte Instagram überhaupt in der Lage sein, die Passwörter im Klartext in eine Webadresse zu schreiben? Beim verschlüsselten Speichern nach Eingabe des Passworts durch Nutzer muss ein Fehler passiert sein. Das Fachmagazin Heise online schreibt dazu:

Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall.

Noch ist nichts weiter über die Hintergründe der Sicherheitslücke bekannt. Hat Instagram tatsächlich Passwörter unverschlüsselt auf seinen Datenbanken gespeichert? Oder hat die von Instagram verwendete Technik das Passwort einfach irrtümlicherweise in die Webadresse geschrieben, nachdem Nutzer ihr Passwort bei der Verwendung des Download-Tools eingegeben haben?

Wie das IT-Magazin The Verge berichtet, hat Instagram mitgeteilt, dass das Problem intern vom Unternehmen selbst bemerkt worden sei. Es sei nur „eine sehr kleine Zahl an Nutzern“ betroffen gewesen und man habe die Sicherheitslücke mittlerweile behoben.

Instagram-Nutzern, die auf Nummer Sicher gehen wollen, empfehlen wir, ihr Passwort zu ändern.

Mehr zum Thema bei mobilsicher.de

  • Hintergrund: Was Sie über Instagram wissen sollten
  • Was ist ein sicheres Passwort?

    • Artikel drucken:

    Beitrag teilen:

    Geschrieben von

    E-Mail

    mey@jb-schnittstelle.de

    Stefan Mey

    Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

    Weitere Artikel

    Ratgeber 

    Diese alternativen Social-Media-Apps empfehlen wir

    Facebook, Instagram und YouTube saugen den Akku leer und lesen viele Informationen aus. Wenn Sie die Netzwerke auf dem Handy nutzen, empfehlen wir stattdessen so genannte Wrapper. Sie sammeln nur notwendige Daten.

    Mehr     Ratgeber 

    So sichern Sie Ihr Instagram-Profil ab

    Instagram bietet viele Möglichkeiten, die eigenen Informationen, Bilder und Videos vor Missbrauch zu schützen. Die Standardeinstellungen sind aber nicht verbraucherfreundlich. Folgende Punkte sollten Sie daher unbedingt einmal überprüfen.

    Mehr     Ratgeber 

    Das ist die Ermittlungsmethode „Stille SMS“

    Mithilfe stiller SMS bringen Behörden das Handy überwachter Personen dazu, den groben Standort zu verraten. Verschiedene Bundes- und Landesbehörden setzen diese Ermittlungsmethode ein. Die verdächtigten Betroffenen erfahren nicht immer davon.

    Mehr     YouTube-Video 

    Android: 5 Tipps für mehr Datenschutz

    Sie haben schon lange vor, Ihr Android-Handy besser vor den neugierigen Blicken großer Konzerne zu schützen? Mit unseren 5 Tipps schlagen Sie Google & Co. ein Schnippchen - und lernen außerdem tolle Alternativen zu den weit verbreiteten Standard-Apps kennen.

    Ansehen

    Kontakt

    Institut für Technik und Journalismus e.V.
    Linienstraße 13
    10178 Berlin

    redaktion@mobilsicher.de

    Lizenz

    Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

    Förderung

    Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

    Träger

    Impressum Datenschutz