Social Media

Instagram-Passwörter: Eigenes DSGVO-Tool machte Zugangsdaten sichtbar

Schloss, Vorhängeschloss, Instagram-Passwörter, Datenschutz
Die Vorgaben der DSGVO führten nun bei Instagram zu einem Datenleck innerhalb eines Abfrage-Tools. (Foto: Pixabay.com / jarmoluk)
geschrieben von Philip Bolognesi

Sollte eigentlich nicht passieren – ist es aber. Unabsichtlich legte Instagram bei einer Datenabfrage alle Login-Daten inklusive der Instagram-Passwörter eines Nutzers offen. Und das über eine Funktion, die eigentlich der Umsetzung neuer Datenschutz-Maßnahmen gerecht werden sollte.

Zu sehen waren die Passwörter der Instagram-Nutzer in der URL im Klartext. Über ein eigenes – gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) – erstelltes Tool mit dem Namen „Download your data“ können User bei Bedarf ihre persönlichen Daten bei Instagram herunterladen. (Hier geht es zu unserem Selbstversuch.)

Das Tool führte Instagram im April dieses Jahres ein. Es erlaubt allen Benutzern den Download sämtlicher beim Unternehmen gespeicherten Informationen und Nutzer-Daten, so wie es die DSGVO vorschreibt.

Wird das Tool verwendet, stellte Instagram jedoch bis vor kurzem auch das eigene Passwort unverschlüsselt als Bestandteil der individuellen URL zu. Folglich speicherten bei einer Abfrage auch die Facebook-Server die Web-Adresse inklusive Passwort ab.

Instagram-Passwörter: Angeblich nur wenige Nutzer betroffen

Gegenüber dem Tech-Magazin The Verge teilte Instagram recht ungenau mit, dass nur eine geringe Anzahl an Nutzern vom Datenleck rund um die Instagram-Passwörter betroffen sei. In der Zwischenzeit habe das Unternehmen das Datenleck geschlossen, das Datenabfrage-Tool upgedatet und sämtliche Passwörter entfernt.

Ebenso kommunizierte Instagram, dass man die betroffenen User sofort darüber informiert habe, zusammen mit der Bitte, ihr Passwort neu zu wählen.

Anwender, die das Tool nicht im Einsatz hatten, sind selbstverständlich vom Datenleck unberührt. Ebenso konnten laut Instagram Dritte das Klartext-Passwort innerhalb der URL nicht einsehen.

Neues Datenleck nährt weiterhin die allgemeinen Zweifel am Datenschutz bei Facebook und Instagram

Bislang ist nicht klar, seit wann genau das Datenleck bei der Facebook-Tochter bestand. Fraglich ist auch, warum davon nicht alle Nutzer (theoretisch) betroffen sind, wenn die Speicherung von Passwörtern im Tool implementiert gewesen ist.

Zweifel bleiben also. Es ist deshalb ratsam, sein Passwort angesichts immer häufiger auftretender Datenhacks vorsorglich und vor allem regelmäßig zu ändern – selbst ohne eindeutige Nachricht von Instagram.

Ebenso sollten Nutzer auch die Zwei-Faktor-Authentifizierung aktivieren. (So geht’s!) Sie erhöht nochmals zusätzlich den Grad an Sicherheit – weit mehr, als dass es ein Passwort vermag.

Auch interessant:

Über den Autor

Philip Bolognesi

Philip Bolognesi war von 2018 bis 2020 in der Redaktion von BASIC thinking tätig. Er hat Kommunikationswissenschaften studiert und ist zertifizierter Social-Media-Manager. Zuvor hat er als freiberuflicher Online-Redakteur für CrispyContent (Serviceplan Berlin) gearbeitet und mittelständische Unternehmen in ihrer Online-Kommunikation beraten. Ihn trifft man häufig im Coworking-Space Hafven in Hannover.