Beim dem zu Facebook gehörenden Bilderdienst Instagram können die Benutzer ihre Daten wie in der DSGVO vorgeschrieben abfragen. Leider zeigte das Tool dabei gleich auch ihr eigenes Passwort im Klartext mit an.
DSGVO-Tool zeigt Klartext-Passwörter in der URL an
Inzwischen musste Instagram eine Datenschutzpanne einräumen: Der Bilderdienst informierte schon betroffene Benutzer darüber, dass beim Anmelden an dem Abfrage-Tool “Download your data” durch ein Versehen auch das Nutzerpasswort im Klartext in der Browser-URL angezeigt wurde und auch in dieser Form auf den Facebook-Servern gespeichert war.
Problem soll behoben sein – aber es bleiben Zweifel
Instagram will das Problem selbst bemerkt und und auch inzwischen behoben haben, sagte ein Instagram-Mitarbeiter gegenüber The Verge. Es seien auch nur wenige Nutzer betroffen gewesen. Nach seiner Aktualisierung sei das DSGVO-Tool jetzt sicher und die Passwörter seien inzwischen auch von den Servern gelöscht worden. Angeblich soll auch das Klartextpasswort in der URL für Dritte nicht einsehbar gewesen sein.
Bisher ist allerdings noch nicht bekannt, seit wann dieses Problem schon bestand und warum davon angeblich nur wenige Nutzer betroffen gewesen sein sollten.
Die Speicherung von Passwörter im Klartext auf Facebooks Servern müsste ja in dem Tool implementiert gewesen sein und sie hätte damit theoretisch alle Nutzer betreffen müssen – und wäre dann auch noch ein schwerwiegender Sicherheitsvorfall gewesen.
Der Instagram-Mitarbeiter betonte aber gegenüber The Verge, dass Facebook nur Hashes von Passwörtern (mit Salt für mehr Entropie) abspeichere.