Download tool Instagram lekte wachtwoorden gebruikers

Door: Raymon Mens - 4 reacties

Het is al een tijdje mogelijk om al je foto’s van Instagram te downloaden. Het dochterbedrijf van Facebook heeft een speciale pagina voor gegevensdownloads, maar die bevatte een beveiligingsprobleem dat het wachtwoord van gebruikers lekte.

Het sociale netwerk heeft het probleem dat aanvankelijk door The Information werd ontdekt inmiddels erkend. Bij het downloaden van je gegevens verscheen je wachtwoord als platte, leesbare tekst in de url van de pagina. Dit is geen groot lek, maar desalniettemin zorgelijk.

Instagram zette wachtwoord gebruikers in url

Volgens Instagram is slechts een klein deel van de gebruikers getroffen en is het lek inmiddels gedicht. Toch kunnen wachtwoorden van gebruikers nog steeds als volledig leesbare tekst rondzwerven in de browsergeschiedenis van apparaten. Als je de afgelopen tijd een gegevensdownload bij het sociale netwerk hebt aangevraagd, is het raadzaam om je browsergeschiedenis te wissen.

Het vermelden van een wachtwoord in een url/link is hoogst ongebruikelijk. Normaal wordt bij inloggen hooguit een speciale ‘hash’ van een wachtwoord gebruikt. Dit is een wiskundige representatie van het wachtwoord die alleen door de server van de dienst in kwestie ontcijferd kan worden. Waarom gekozen is om het volledige wachtwoord te gebruiken, blijft vooralsnog onduidelijk.

Instagram gegevensdownload 001
Klik/tap voor groter.

Browsergeschiedenis wissen

Je browsergeschiedenis wissen gaat op iOS als volgt:

  • Ga naar Instellingen en vervolgens naar Safari.
  • Scroll helemaal naar onder.
  • Tik op Wis geschiedenis en data en bevestig dit.

Op de Mac kun je in zowel Safari als Firefox je geschiedenis meteen wissen onder het menu ‘Geschiedenis’. In Chrome werkt het iets anders. Daar kun je de optie vinder onder InstellingenGeavanceerdPrivacy en BeveiligingBrowsegegevens wissen. Op Windows werkt dit in Chrome en Firefox op precies dezelfde manier. Bij Internet Explorer en Edge kun je de optie ook direct onder het scherm met je browsergeschiedenis vinden.

Reacties

4 reacties
  • Profielfoto
    tinus_omt

    Dit geeft wel aan dat er iets heel erg mis is, want als Instragram je wachtwoord te voorschijn kan toveren betekent dat dat ze het password ergens ongecodeerd opslaan, terwijl je alleen de gecodeerde versie hoort te bewaren.

  • Profielfoto
    MelvinCornelissen

    tinus_omt op 19 november 2018 14:25
    Dit geeft wel aan dat er iets heel erg mis is, want als Instragram je wachtwoord te voorschijn kan toveren betekent dat dat ze het password ergens ongecodeerd opslaan, terwijl je alleen de gecodeerde versie hoort te bewaren.

    Niet helemaal waar, het kan ook betekenen dat zij de sleutel tot je wachtwoord hebben. Niet minder verontrustend overigens.

  • Profielfoto
    GuZ

    Waarom zou je niet gewoon je ww regelmatig veranderen – dat is beter dan alleen de geschiedenis wissen. Ps tinus_omt heeft wel gelijk: diensten zouden nooit je ww mogen opslaan – alleen de hash

  • Profielfoto
    floris4970

    MelvinCornelissen op 19 november 2018 17:57

    tinus_omt op 19 november 2018 14:25
    Dit geeft wel aan dat er iets heel erg mis is, want als Instragram je wachtwoord te voorschijn kan toveren betekent dat dat ze het password ergens ongecodeerd opslaan, terwijl je alleen de gecodeerde versie hoort te bewaren.

    Niet helemaal waar, het kan ook betekenen dat zij de sleutel tot je wachtwoord hebben. Niet minder verontrustend overigens.

    Ze zouden het wachtwoord moeten opslaan als een Hash, heel veilig en onomkeerbaar, dat zij je wachtwoord versleuteld opslaan is wel dergelijk verontrustend. een hacker kan in dat geval het wachtwoord ook weer ontcijferen.

    Of als we de alu hoedjes opzetten.. kunnen ze het wachtword doorspelen aan de (Amerikaanse) overheid of weet ik veel wie, en als je dan al zo slim bent niet overal een ander wachtwoord te gebruiken kunnen ze ineens een hele hoop.