DSGVO-Tool zeigt Passwörter im Klartext in der URL an
Jetzt musste Instagram eine Datenschutzpanne einräumen: Das Unternehmen informierte soeben die betroffenen Benutzer darüber, dass beim Anmelden an dem Tool „Download your data“ aus Versehen auch das Nutzerpasswort im Klartext in der Browser-URL sichtbar wurde und auch in dieser Form auf Facebooks Servern gespeichert war.
Das Problem soll behoben sein – es bleiben aber Zweifel
Der Bilderdienst habe das Problem selbst bemerkt und und auch inzwischen behoben, sagte ein Instagram-Mitarbeiter gegenüber The Verge. Nur wenige Nutzer seien betroffen gewesen. Das DSGVO-Tool sei nach einer Aktualisierung jetzt sicher und die Passwörter seien auch auf den Servern gelöscht worden. Angeblich sei auch das Klartextpasswort in der URL für Dritte nicht einsehbar gewesen.
Es ist allerdings bisher noch nicht bekannt, seit wann dieses Problem bestand und warum davon nur wenige Benutzer betroffen gewesen sein sollten. Die Speicherung der Passwörter im Klartext auf den Facebook-Servern müsste ja in dem Tool implementiert gewesen sein und hätte damit theoretisch auch alle Nutzer betreffen müssen – und wäre dazu auch noch ein schwerwiegender Sicherheitsvorfall.
Der Instagram-Mitarbeiter beteuerte aber gegenüber The Verge, dass Facebook nur Hashes von Passwörtern (mit Salt für mehr Entropie) abspeichere.