Instagram Passwörter öffentlich im Quelltext sichtbar

Eine Webseite, namens Social Captain, verspricht ihren Nutzern zu mehr Instagram Follower zu verhelfen. Alles was man dafür machen muss, ist es sich mit Insta bei der Seite anzumelden und seinen Namen anzugeben und das dazugehörige Passwort. Prinzipiell funktioniert der Service, doch nun gibt es das Problem, dass die sensiblen Daten der Nutzer öffentlich im Quelltext sichtbar sind.

Wie konnte das passieren?

Die Zugangsdaten der Nutzer wurden unverschlüsselt gespeichert und waren daher im Quelltext des Social Captain Profils zu sehen. Techcrunch machte die Webseite auf das Problem aufmerksam und veröffentlichte auch einen Blog-Beitrag zum Thema. Der Fehler wurde umgehend von Social Captain behoben. Trotzdem sind die Instagram Passwörter immer noch im Quelltext sichtbar. Laut Insta verstößt die Firma generell gegen die Nutzungsbedingungen und müsse genauer untersucht werden.

Es war ganz ohne Anmeldung möglich auf ein Nutzer-Profil zuzugreifen

Man brauchte nur die einzigartige Benutzerkonto-ID der jeweiligen Person. Diese fügte man einfach der URL der Webseite hinzu und und konnte einfach ohne Anmeldung auf das Profil eines Nutzers zugreifen. Daraus konnte man dann einfach die die Zugangsdaten des dazugehörigen Insta-Accounts kopieren. Problematisch wird es wenn man beispielsweise Web-Scraping verwendet und somit automatisiert und legal alle Daten von Instagram Nutzern sammelt.

10.000 Instagram-Nutzer-Daten gesammelt

Zu den Daten gehören E-Mailadressen, Namen, Zugangsdaten und Passwörter. Darunter waren es 4.700 Anmeldedaten und auch einige Insta-Premium-Accounts mit Bankdaten. Der Schaden ist groß und es empfiehlt sich den Dienst von Social Captain nicht mehr zu nutzen. Auch sein Instagram Passwort zu ändern ist auf jeden Fall kein Fehler. Nicht nur bei seinem Insta-Account sollte man aufpassen, sondern auch bei anderen Social Media Plattformen, wie Facebook, Twitter etc.. Nicht mal der erst kürzlich aufgetretene Facebook-Skandal kann die riesigen Plattformen davon abhalten deine Daten abzusaugen.


Erstellt am:02/04/2020

Schreibe einen Kommentar