(Bild: Arne Swinnen )
Mit vergleichsweise wenig Aufwand hätte ein Sicherheitsforscher Accounts von Instagram-Nutzern kapern können. Mittlerweile wurde der wunde Punkt verarztet.
Der Kryptologe Arne Swinnen entdeckte eine Schwachstelle auf der Webseite zum Überprüfen eines Instagram-Accounts. Da die Seite Besucher nicht authentifiziert und die einzigartige Nutzer-ID in der URL auftaucht, hätte Swinnen eigenen Angaben zufolge durch Ausprobieren von Nutzer-IDs (Brute-Force-Methode) bestimmte Accounts übernehmen können. Seinen Hochrechnungen entsprechend waren davon potenziell 20 Millionen Konten gefährdet. Insgesamt weist Instagram rund 500 Millionen aktive Accounts auf.
Facebook, die Instagram 2012 kauften, hat die Schwachstelle mittlerweile ausgebessert und Swinnen eine Bug-Bounty-Prämie von 5000 US-Dollar gezahlt. Das Ganze geschah bereits im März dieses Jahres, wird aber erst jetzt von verschiedenen Medien aufgegriffen.
Swinnen erläutert, dass sein Ansatz ausschließlich bei vorübergehend gesperrten Accounts funktioniert habe. Bei diesen habe er die E-Mail-Adresse ändern können, um das Passwort zurückzusetzen. Einige Accounts gaben auf diesem Weg sogar die Telefonnummer des rechtmäßigen Inhabers bekannt und erlaubten eine Änderung. So wäre es möglich gewesen, das Passwort via SMS zurückzusetzen und ebenfalls die volle Kontrolle über das Konto zu erlangen. (des)
hilfreiche Tipps mehr hilfreiche Tipps