Instagram beruft sich auf Bug: Fotos und Nachrichten wurden nicht von Servern gelöscht
Als die Datenschutz-Grundverordnung der Europäischen Union vor zwei Jahren in Kraft trat, war die Aufregung groß: Unternehmen aller Art und Größe, die (auch) in der EU tätig sind, befürchteten einen ungeheuren bürokratischen Mehraufwand und Kunden fanden einen rechtlichen Rahmen vor, um ihre Interessen in puncto Datenschutz wirkungsvoll durchzusetzen. Erstmals erlaubten viele soziale Netzwerke die Möglichkeit, die von den Anwendern generierten Daten herunterzuladen. Diese Option brachte den Vorteil der Interoperabilität mit sich: Nutzer konnten manche der von ihnen geposteten Dateien nun ohne weitere Umwege auch bei anderen sozialen Netzwerken zur Anwendung bringen. Mittlerweile sollten gerade die großen Anbieter Tools entwickelt haben, die DSGVO-konform sind und einwandfrei funktionieren – das scheint aber nicht immer der Fall zu sein.
Instagram stellt längst gelöschte Daten bereitDer Sicherheitsforscher Saugat Pokharel entschied sich, seine auf Instagram gespeicherten Daten herunterzuladen – zuvor hatte er bis zu einem Jahr alte Fotos und private Nachrichten gelöscht. Das zu Facebook gehörende Unternehmen stellt hierfür ein Tool zur Verfügung, das in Übereinstimmung mit der DSGVO einen solchen Download sicherstellen soll. Pokharel musste feststellen, dass ihm auch jene Daten angeboten wurden, die längst hätten gelöscht werden müssen. Zwar speichern viele Unternehmen die von ihren Kunden bereitgestellten Daten über einen gewissen Zeitraum, bis diese endgültig aus den Netzwerken, Caches und Systemen verschwinden; Instagram gibt aber an, dass sie nach ungefähr 90 Tagen vollständig entfernt werden.
Instagram: Kein Missbrauch ersichtlichÜber das Bug-Bounty-Programm des Anbieters reichte Pokharel im Oktober 2019 eine Beschreibung des Sachverhalts ein. Instagram spricht von einem Fehler und merzte diesen Anfang dieses Monats aus. Einen Hinweis auf Missbrauch könne man nicht sehen. Man sei dem Forscher für die Meldung des Problems dankbar. Tatsächlich honorierte das Unternehmen Pokharels Bemühungen mit 6000 US-Dollar.
Fall erinnert an TwitterÄhnliches passierte bereits anderen sozialen Netzwerken. Bei Twitter ließ sich im letzten Jahr auf längst gelöschte Nachrichten zugreifen, obwohl es sich um die Sender und Empfänger von bereits gesperrten oder deaktivierten Accounts handelte. Twitter räumte ebenfalls ein, dass es sich um einen Bug handle.