News Instagram: DSGVO-Tool verriet Nutzerpasswörter im Klartext

MBrain

Cadet 4th Year
Dabei seit
Juni 2018
Beiträge
99
#1
Über das Tool „Download your data“ können bei Instagram die Daten des Nutzers nach der DSVGO heruntergeladen werden. Wie der Mutterkonzern Facebook nun mitteilte, sorgte eine Datenschutzpanne bei genau diesem Vorgang dafür, dass das eigene Passwort im Klartext angezeigt und damit theoretisch kompromittiert werden konnte.

Zur News: Instagram: DSGVO-Tool verriet Nutzerpasswörter im Klartext
 

Schnitz

Vice Admiral
Dabei seit
Nov. 2005
Beiträge
6.936
#2
Zuerst machte das ganze den Eindruck, dass die DSGVO selbst zu einer Sicherheitslücke führt oder das es da ein offizielles Tool gebe.
Dabei hat mal wieder nur jemand sich Dumm angestellt ein Stück Software umzusetzen. Passiert jeden Tag doch Tausendmal, aber hier ist ja mal wieder die DSGVO im Visier. Das diese dem Bürger massiv Rechte einräumt und man den Weg der Daten endlich verfolgen kann wird wieder mal nicht erwähnt

Feed the "DSGVO- nur Titelleser und diesen fehl-interpretier -HATER"

Scheiß Clickbait-Titel

Instagram wollte mit einem eigenen Tool dieser Forderung nachkommen und bot über „Download your data“ eine entsprechende Funktion an. Damit soll es den Anwendern ermöglicht werden, einfach an die von Instagram gespeicherten persönlichen Daten zu gelangen. Bedingt durch eine Sicherheitslücke wurde bei der Abfrage allerdings das eigene Passwort im Klartext als Teil der URL übermittelt und damit potenziell kompromittiert.
Hier hat einfach Instagram versagt.

Titelvorschlag: Facebook-Tochter Instagram versagt bei technischer Umsetzung der DSGVO auf ganzer Linie.

Aber ich seh schon die Diskussionen: "Haste schon gehört, wegen der scheiß DSGVO sind jetzt alle Paswörter öffentlich" :freak:

Das ist mehr als Tendenz, dass ist "Wes Brot ich ess, des Lied ich sing!" und hat nichts mehr mit Journalismus zu tun.

Edit: Und was bitte ist ein "DSGVO-Tool"? Die Genese des Wortes erklärt der Text auch nicht!
 
Zuletzt bearbeitet:
Dabei seit
Mai 2004
Beiträge
7.454
#5
@craxity
Primär mal Pfuscher...

Und wieder ein Datenleck bei einem Facebook Angebot. Mr. Karottenkopf sollte seine Wut von Amazon mal auf Facebook umlenken. Denen würde eine Zerschlagung mindestens genauso gut tun... Aber dafür müsste Zucki erstmal gegen Trump austeilen vermute ich.
 
Dabei seit
Feb. 2011
Beiträge
5.664
#6
Ich bin echt so froh, das mein Leben ohne diesem ganzen Mist super funktioniert und auch passt.
 
Dabei seit
Jan. 2010
Beiträge
3.502
#10
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...
 
Dabei seit
Sep. 2005
Beiträge
681
#11
Man stelle sich mal vor, eine Bank oder irgendeine andere privatwirschaftliche Einrichtung, die sensible Informationen ihrer Kunden verwaltet, würde ein neues Hauptgebäude errichten und dabei im Erdgeschoss einfach alle Türen und Fenster einzubauen vergessen, so dass geschickte Leute bei der passenden Gelegenheit ein- und ausgehen und die vorhandenen Bestände raustragen könnten. Was wäre das für ein Skandal! Das Unternehmen hätte innerhalb kürzester Zeit große Umsatzeinbußen zu verzeichnen.
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.
 
Dabei seit
Okt. 2007
Beiträge
2.644
#12
Passiert Vergleichbares aber allenthalben und wiederholt im digitalen Bereich, lesen wenige die entsprechenden Berichte mit Belustigung, andere mit einem Schulterzucken und die allermeisten überhaupt nicht oder in den zehn Sekunden, in denen sie gerade ein neues Bild hochladen. Im Großen und Ganzen passiert aber nichts. Das soll mal einer verstehen.
Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.
 
Dabei seit
Dez. 2005
Beiträge
25.266
#13
Na dann bin ich mal gespannt wie hoch die Strafe ist. Bin ich mal gespannt wie viel es wird von bis zu 20 Mio oder 4% vom Weltweiten Jahresumsatz...
 

cliscan

Cadet 4th Year
Dabei seit
Juli 2018
Beiträge
109
#14
>Während Instagram versichert, dass nur wenige Anwender das Tool genutzt hätten, bleibt die Frage offen, wie das eigene Passwort überhaupt bei Instagram gespeichert wird.<

So das die Admins und die NSA es im Klartext lesen kann offensichtlich. Ich sage da nur: ,,Selbst schuld wenn man solche Bevölkerungsüberwachungsseiten benutzt.``

Spätestens seit den Snowden-Veröffentlichungen kann sich kein Geschädigter mehr damit herausreden, von der Gefahr nichts gewusst zu haben. Wer solche Dienste wie Facebook, WhatsApp, Instagram, Twitter und Co. nutzt der macht sich halt wissentlich selbst zum Opfer.

Solche Datenpannen hier sind da auch nur die Spitze des Eisbergs. Ich sage da nur psychologische Experimente an Nutzern bei Facebook oder etwa Cambridge Analytica.
 
Dabei seit
Apr. 2013
Beiträge
7.145
#16
Wer legt denn heute noch Passwörter im Klartext ab?
Warum werden die Passwörter bitte als Klartext oder unsalted Hash abgelegt? Klingt nach der DGSVO eigentlich jetzt nicht mehr nach so wirklich erlaubt...
Lesen. Das Passwort wurde bei der HTTP-Anfrage für den Login an die URL, unter der der Download des Datensatzes bereitgestellt wird, im Klartext übermittelt. D.h. wahrscheinlich als unverschlüsselter GET-Parameter in der URL oder als POST-Parameter im unverschlüsselten HTTP-Body. Trotzdem täte IG gut daran, das Teil vorher zu hashen und auf dem Server nur die Hashes zu vergleichen.

Das hat nichts mit der Speicherung des Passworts zu tun. Im Text steht ja auch, dass das Passwort bei FB/IG als salted Hash gespeichert wird.

Klartext? 2018? Salted-Hash noch nie gehört? OMG Stümper, egal ob Frickelbude oder Milliardenunternehmen, überall Stümper.
Das erklärlichste Szenario ist, dass ein Entwickler es verschusselt hat, ein "s" an das "http" zu hängen, passiert schnell, auch den besten. Aber recht gebe ich dir insoweit, dass das bei so einer Nutzerzahl dreifach überprüft werden sollte, bevor es live geht. Und außerdem unverschlüsselte HTTP-Requests vom Instagram-Server grundsätzlich abgelehnt werden, dann fällt so was auch schon beim Test auf. (Ich hoffe doch sehr dass die ihren Mist testen :freak: )
 
Zuletzt bearbeitet:
Dabei seit
Dez. 2013
Beiträge
5.141
#17
Dabei seit
Okt. 2006
Beiträge
6.518
#18
Liegt wohl daran, dass man nicht sofort sieht, dass man bestohlen wird. Es ist halt digital, die meisten merken von nichts und einen "Hackangriff" auf das öffentliche Instakonto können einige noch verkraften.
ja... erst Ende letzte Woche... Wurde mein neu angelegtes Insta-Konto kurzerhand von Russen übernommen... Innerhalb weniger Sekunden Email Benachrichtigungen über Wechsel von Passwort und E-Mail Adresse bekommen... keine Ahnung wie die an die Daten gekommen sind.

Is jetzt kein Drama, konnte es gleich wieder Rückgängig machen die Änderungen und Instagram ist ja jetzt nichts groß sensibles für mich, aber verwundert war ich schon etwas.
 
Top