News Instagram: DSGVO-Tool verriet Nutzerpasswörter im Klartext

Zuerst machte das ganze den Eindruck, dass die DSGVO selbst zu einer Sicherheitslücke führt oder das es da ein offizielles Tool gebe.
Dabei hat mal wieder nur jemand sich Dumm angestellt ein Stück Software umzusetzen. Passiert jeden Tag doch Tausendmal, aber hier ist ja mal wieder die DSGVO im Visier. Das diese dem Bürger massiv Rechte einräumt und man den Weg der Daten endlich verfolgen kann wird wieder mal nicht erwähnt

Feed the "DSGVO- nur Titelleser und diesen fehl-interpretier -HATER"

Scheiß Clickbait-Titel

MBrain schrieb:
DSGVO-Tool verriet Nutzerpasswörter im Klartext

MBrain schrieb:
Instagram wollte mit einem eigenen Tool dieser Forderung nachkommen und bot über „Download your data“ eine entsprechende Funktion an. Damit soll es den Anwendern ermöglicht werden, einfach an die von Instagram gespeicherten persönlichen Daten zu gelangen. Bedingt durch eine Sicherheitslücke wurde bei der Abfrage allerdings das eigene Passwort im Klartext als Teil der URL übermittelt und damit potenziell kompromittiert.

Hier hat einfach Instagram versagt.

Titelvorschlag: Facebook-Tochter Instagram versagt bei technischer Umsetzung der DSGVO auf ganzer Linie.

Aber ich seh schon die Diskussionen: "Haste schon gehört, wegen der scheiß DSGVO sind jetzt alle Paswörter öffentlich" :freak:

Das ist mehr als Tendenz, dass ist "Wes Brot ich ess, des Lied ich sing!" und hat nichts mehr mit Journalismus zu tun.

Edit: Und was bitte ist ein "DSGVO-Tool"? Die Genese des Wortes erklärt der Text auch nicht!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: MeisterOek, HardRockDude, Ruff_Ryders88 und 39 andere
Wer legt denn heute noch Passwörter im Klartext ab?
 
  • Gefällt mir
Reaktionen: j-d-s, nighteeeeey, Fritzler und 12 andere
@craxity
Primär mal Pfuscher...

Und wieder ein Datenleck bei einem Facebook Angebot. Mr. Karottenkopf sollte seine Wut von Amazon mal auf Facebook umlenken. Denen würde eine Zerschlagung mindestens genauso gut tun... Aber dafür müsste Zucki erstmal gegen Trump austeilen vermute ich.
 
  • Gefällt mir
Reaktionen: Mar1u5 und phoenixtr
Ich bin echt so froh, das mein Leben ohne diesem ganzen Mist super funktioniert und auch passt.
 
  • Gefällt mir
Reaktionen: Smartbomb, m4rci, localhostDE und 6 andere
Klartext? 2018? Salted-Hash noch nie gehört? OMG Stümper, egal ob Frickelbude oder Milliardenunternehmen, überall Stümper.
 
  • Gefällt mir
Reaktionen: Smartbomb, HardRockDude, sebbolein und 10 andere
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...
 
Man stelle sich mal vor, eine Bank oder irgendeine andere privatwirschaftliche Einrichtung, die sensible Informationen ihrer Kunden verwaltet, würde ein neues Hauptgebäude errichten und dabei im Erdgeschoss einfach alle Türen und Fenster einzubauen vergessen, so dass geschickte Leute bei der passenden Gelegenheit ein- und ausgehen und die vorhandenen Bestände raustragen könnten. Was wäre das für ein Skandal! Das Unternehmen hätte innerhalb kürzester Zeit große Umsatzeinbußen zu verzeichnen.
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.
 
  • Gefällt mir
Reaktionen: NobodysFool, Smartbomb und itm
Christock schrieb:
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.

Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.
 
Na dann bin ich mal gespannt wie hoch die Strafe ist. Bin ich mal gespannt wie viel es wird von bis zu 20 Mio oder 4% vom Weltweiten Jahresumsatz...
 
  • Gefällt mir
Reaktionen: Kalsarikännit
>Während Instagram versichert, dass nur wenige Anwender das Tool genutzt hätten, bleibt die Frage offen, wie das eigene Passwort überhaupt bei Instagram gespeichert wird.<

So das die Admins und die NSA es im Klartext lesen kann offensichtlich. Ich sage da nur: ,,Selbst schuld wenn man solche Bevölkerungsüberwachungsseiten benutzt.``

Spätestens seit den Snowden-Veröffentlichungen kann sich kein Geschädigter mehr damit herausreden, von der Gefahr nichts gewusst zu haben. Wer solche Dienste wie Facebook, WhatsApp, Instagram, Twitter und Co. nutzt der macht sich halt wissentlich selbst zum Opfer.

Solche Datenpannen hier sind da auch nur die Spitze des Eisbergs. Ich sage da nur psychologische Experimente an Nutzern bei Facebook oder etwa Cambridge Analytica.
 
  • Gefällt mir
Reaktionen: localhostDE, Moriendor und Ned Flanders
Ueberschrift, cb-typisch, Clickbait erster Ordnung.

Instagram hat gefuscht.
Mit keiner Silbe wird das aber in die Ueberschrift gestellt, da DSGVO-haten einfach mehr Klicks versprechen.
Sorry Leute, das ist nicht in Ordnung.
 
  • Gefällt mir
Reaktionen: Smartbomb, HardRockDude, localhostDE und 9 andere
craxity schrieb:
Wer legt denn heute noch Passwörter im Klartext ab?
tmkoeln schrieb:
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...

Lesen. Das Passwort wurde bei der HTTP-Anfrage für den Login an die URL, unter der der Download des Datensatzes bereitgestellt wird, im Klartext übermittelt. D.h. wahrscheinlich als unverschlüsselter GET-Parameter in der URL oder als POST-Parameter im unverschlüsselten HTTP-Body. Trotzdem täte IG gut daran, das Teil vorher zu hashen und auf dem Server nur die Hashes zu vergleichen.

Das hat nichts mit der Speicherung des Passworts zu tun. Im Text steht ja auch, dass das Passwort bei FB/IG als salted Hash gespeichert wird.

flappes schrieb:
Klartext? 2018? Salted-Hash noch nie gehört? OMG Stümper, egal ob Frickelbude oder Milliardenunternehmen, überall Stümper.

Das erklärlichste Szenario ist, dass ein Entwickler es verschusselt hat, ein "s" an das "http" zu hängen, passiert schnell, auch den besten. Aber recht gebe ich dir insoweit, dass das bei so einer Nutzerzahl dreifach überprüft werden sollte, bevor es live geht. Und außerdem unverschlüsselte HTTP-Requests vom Instagram-Server grundsätzlich abgelehnt werden, dann fällt so was auch schon beim Test auf. (Ich hoffe doch sehr dass die ihren Mist testen :freak: )
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Smartbomb und Olunixus
psYcho-edgE schrieb:
Das erklärlichste Szenario ist, dass ein Entwickler es verschusselt hat, ein "s" an das "http" zu hängen.

Genau deswegen sollten Server richtig konfiguriert sein. Wäre er das, würden die Server für sensible Daten gar nicht auf nicht-sichere Anfragen reagieren, der Fehler wäre also sofort aufgefallen (falls er so ist, wie vermutet)

Lg
 
  • Gefällt mir
Reaktionen: Smartbomb, Yesman9277, itm und 2 andere
k0ntr schrieb:
Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.

ja... erst Ende letzte Woche... Wurde mein neu angelegtes Insta-Konto kurzerhand von Russen übernommen... Innerhalb weniger Sekunden Email Benachrichtigungen über Wechsel von Passwort und E-Mail Adresse bekommen... keine Ahnung wie die an die Daten gekommen sind.

Is jetzt kein Drama, konnte es gleich wieder Rückgängig machen die Änderungen und Instagram ist ja jetzt nichts groß sensibles für mich, aber verwundert war ich schon etwas.
 
  • Gefällt mir
Reaktionen: psYcho-edgE
Egal ob IG nun die Passwörter im Klartext speichert oder sie im Klartext übermittelt. Es ist einfach so falsch und verkehrt.
 
Zurück
Oben