Nächster Skandal im Facebook-Universum. Die privaten Kontendaten von Influencer auf Instagram wurden offenbar von einem indischen Unternehmen in einer ungeschützten Datenbank, die per Internet erreichbar war, gespeichert.
Der Sicherheitsforscher Anurag Sen entdeckte die Datenbank, die Daten von Influencern, Prominenten und Marken enthielt, und alarmierte TechCrunch, um den Besitzer zu finden und die Datenbank zu sichern.
Reported- Millions of Instagram influencers private information exposed publicly.https://t.co/kXSlPzOquM@zackwhittaker @facebook @instagram
— anurag sen (@hak1mlukha) 20. Mai 2019
Die Datenbank, die auf Amazon Web Services gehostet wird, war offen und ohne Passwort über das Internet zu erreichen. Zum Zeitpunkt der Erstellung hatte die Datenbank über 49 Millionen Datensätze – wobei der Umfang aber von Stunde zu Stunde wuchs.
Eine kurze Durchsicht der Daten zeigte, dass jeder Datensatz öffentliche Daten enthielt, die von Influencer-Instragram-Accounts stammten. Diese Daten umfasste auch die Biografie, das Profilbild und die Anzahl der Follower der Influencer. Hinzu kamen Wohnorte sowie private Kontaktinformationen, wie die E-Mail-Adresse und die Telefonnummer des Inhabers des Instagram-Accounts.
Techcrunch, die hier berichten, konnten den Besitzer der Datenbank ausfindig machen. Die Datenbank gehört dem in Bombay (Indien) ansässigen Social-Media-Marketingunternehmen Chtrbox. Dieses Unternehmen bezahlt Influencer, gesponserte Inhalte unter ihren Instagram-Konten zu veröffentlichen.
Jeder Datensatz in der Datenbank enthielt einen Datensatz, der den Wert jedes Kontos berechnete, basierend auf der Anzahl der Follower, Engagement, Reichweite, Vorlieben und Aktien, die sie hatten. Dies wurde als Metrik verwendet, um festzustellen, wie viel das Unternehmen einem Instagram-Promi oder einem Influencer für die Veröffentlichung einer Anzeige zahlen könnte.
TechCrunch fand in der exponierten Datenbank mehrere hochkarätige Influencer, darunter prominente Food-Blogger, Prominente und andere Social Media Influencer. TechCrunch kontaktierte mehrere zufällig ausgewählte Personen, deren Informationen in der Datenbank gefunden wurden. Zwei der Teilnehmer antworteten und bestätigten ihre E-Mail-Adresse und Telefonnummer, die in der Datenbank gefunden wurden. Die Daten waren verwendet worden, um ihre Instagram-Konten einzurichten. Die betreffenden Personen sagten, dass sie keine Verbindung zu Chtrbox hatten.
Kurz nach der Meldung nahm Chtrbox die Datenbank offline. Pranay Swarup, der Gründer und Geschäftsführer des Unternehmens, antwortete nicht auf Anfragen von Techcrunch, so dass unklar ist, wie das Unternehmen an private Instagram-Konto-E-Mail-Adressen und Telefonnummern herankam. Techcrunch schreibt aber, dass es vor zwei Jahren ein Sicherheitsproblem mit der Entwickler-API gab. Dieser ermöglichte es Hackern, die E-Mail-Adressen und Telefonnummern von sechs Millionen Instagram-Konten abzurufen. Die Hacker verkauften später die Daten für Bitcoin.
Facebook, dem Instagram gehört, sagte, dass es die Angelegenheit untersuche. „Wir untersuchen das Problem, um zu verstehen, ob die beschriebenen Daten – einschließlich E-Mail und Telefonnummern – von Instagram oder anderen Quellen stammen. Wir fragen auch bei Chtrbox nach, woher diese Daten stammen und wie sie öffentlich zugänglich wurden.”, so eine aktualisierte Erklärung des Unternehmens.