Beim zu Facebook gehörenden Bilderdienst Instagram können die Benutzer ihre Daten DSGVO-konform abfragen. Dummerweise zeigte ihnen das Tool dabei gleich auch ihr eigenes Passwort im Klartext an.

DSGVO-Tool zeigt Passwörter im Klartext in der URL an

Jetzt musste Instagram eine Datenschutzpanne einräumen: Das Unternehmen informierte soeben die betroffenen Benutzer darüber, dass beim Anmelden an dem Tool „Download your data“ aus Versehen auch das Nutzerpasswort im Klartext in der Browser-URL sichtbar wurde und auch in dieser Form auf Facebooks Servern gespeichert war.

Das Problem soll behoben sein – es bleiben aber Zweifel

Der Bilderdienst habe das Problem selbst bemerkt und und auch inzwischen behoben, sagte ein Instagram-Mitarbeiter gegenüber The Verge. Nur wenige Nutzer seien betroffen gewesen. Das DSGVO-Tool sei nach einer Aktualisierung jetzt sicher und die Passwörter seien auch auf den Servern gelöscht worden. Angeblich sei auch das Klartextpasswort in der URL für Dritte nicht einsehbar gewesen.

Es ist allerdings bisher noch nicht bekannt, seit wann dieses Problem bestand und warum davon nur wenige Benutzer betroffen gewesen sein sollten. Die Speicherung der Passwörter im Klartext auf den Facebook-Servern müsste ja in dem Tool implementiert gewesen sein und hätte damit theoretisch auch alle Nutzer betreffen müssen – und wäre dazu auch noch ein schwerwiegender Sicherheitsvorfall.

Der Instagram-Mitarbeiter beteuerte aber gegenüber The Verge, dass Facebook nur Hashes von Passwörtern (mit Salt für mehr Entropie) abspeichere.