Instagram-Hack: Sicherheitsforscher streitet mit Facebook

Wesley Wineberg, ein Sicherheitsforscher des US-Unternehmens Synack, ist ein Hack der Foto-Plattform Instagram gelungen. Wineberg konnte auf heikle Daten wie Quellcode der Web-Plattform und Apps, SSL-Zertifikate und Private Keys für die Server-Infrastruktur zugreifen. Auch der Zugriff auf Nutzerdaten und gespeicherte Fotos war laut Wineberg möglich. „Zu sagen, dass ich Zugriff auf Instagrams geheime Daten hatte, wäre wohl eine zutreffende Aussage“, erklärt Wineberg in einem Blogpost. Mit den Keys hätte er sich als jeder beliebige Instagram-Mitarbeiter ausgeben und auf sensible Daten zugreifen können.

Um eine Million Dollar betrogen

Instagram-Eigentümer Facebook ist über Winebergs Aktion allerdings wenig erfreut. Der US-Konzern bezahlte ihm im Rahmen der "Bug Bounty" ursprünglich 2.500 US-Dollar für das Aufdecken einer Sicherheitslücke. Als man allerdings von seinem weiteren Vorgehen erfuhr, verweigerte das US-Unternehmen eine Belohnung und bezeichnete Winebergs Vorgehen als unethisch und möglicherweise strafbar. Wineberg machte sich, wie auch im Blogpost dokumentiert, nicht Fehler im Code, sondern Schlampigkeit bei der Server-Konfiguration und schwache Passwörter der Mitarbeiter zunutze.

Sicherheitslücken, die laut Facebook bereits behoben wurden. Dennoch forderte Facebooks Chief Security Officer Alex Stamos eine Zusage von Wineberg, dass dieser alle Daten gelöscht und keine Nutzerdaten gespeichert hatte. Zudem bat er ihn, seine Entdeckung nicht publik zu machen. Daran wollte sich der verbitterte Sicherheitsforscher, der sich um eine Million Dollar betrogen sieht, nicht halten.