Facebooks Bilderdienst Instagram hat eine Datenschutzpanne eingestanden: Das Unternehmen informierte betroffene Benutzer darüber, dass beim Anmelden an dem Tool "Download your data" versehentlich das Nutzerpasswort im Klartext in der Browser-URL enthalten gewesen ist und in dieser Form auf Facebooks Servern gespeichert war. Darüber berichtet die Website The Information.

In eigener Sache: c't wissen DSGVO Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten. c't wissen DSGVO im heise shop

Passwort steht in der Browser-URL

Das Tool "Download your data" hatte Instagram im April dieses Jahres eingeführt, um den Anforderungen an die europäische Datenschutzgrundverordnung (DSGVO) zu genügen und Benutzern das Herunterladen aller beim Unternehmen über sie gespeicherten Informationen zu erlauben. Nach Angaben eines Instagram-Mitarbeiters habe das Problem mit dem Klartext-Passwort in der URL jedoch "nur sehr wenige Benutzer" betroffen, und diese habe man am Freitag dieser Woche darüber informiert und gebeten, ihr Passwort zurückzusetzen.

Das Unternehmen habe das Problem selbst bemerkt und behoben, sagte der Instagram-Mitarbeiter gegenüber The Verge. Das Tool sei nach einer Aktualisierung nun sicher und die Passwörter seien auf den Servern gelöscht worden. Das Klartextpasswort in der URL sei zudem für keine weiteren Personen einsehbar gewesen.

Umfang des Problems noch unklar

Allerdings ist bislang unbekannt, seit wann dieses Problem bestand und warum nur wenige Benutzer betroffen gewesen sein sollen. Das Speichern von Passwörtern im Klartext auf Facebooks Servern müsste in dem Tool implementiert gewesen sein und hätte damit theoretisch alle Nutzer betroffen – und wäre zudem ein schwerwiegender Sicherheitsvorfall. Der Instagram-Mitarbeiter sagte The Verge, dass Facebook nur Hashes von Passwörtern (unter Verwendung von Salt für mehr Entropie) speichere.

Instagram hatte kürzlich seine 2-Faktor-Authentifizierung und die Kontoverifikation verbessert. Facebook hatte den Bilderdienst 2012 für ca. 760 Millionen Euro gekauft. Die beiden Gründer haben Facebook im September 2018 verlassen. Facebook war schon mehrmals wegen des Vermischens der Daten seiner Zukäufe mit eigenen Nutzerprofilen in die Diskussion geraten, zuletzt etwa, weil mit übermittelten Instagram-Standortdaten ortsgezogene Facebook-Werbung geschaltet werden soll.

(tiw)