2429997

Instagram: Private Daten von Millionen Nutzern ungeschützt im Web

21.05.2019 | 10:34 Uhr | Hans-Christian Dirscherl

Ein Sicherheitsforscher entdeckte eine ungesicherte Datenbank mit vertraulichen Daten wie Mailadresse oder Telefonnummer von mehreren Millionen bekannten Instagram-Nutzern. Der Fund zeigt zugleich, wie Firmen Influencer für Werbung auf deren Kanälen bezahlen.

49 Millionen Einträge enthält eine Datenbank, die der Sicherheitsforscher Anurag Sen frei zugänglich auf Servern der Amazon Web Services entdeckte. Die Datenbank war nicht durch ein Passwort geschützt, jeder Interessierte konnte den Inhalt der Datenbank lesen. Die Datenbank wuchs zum Zeitpunkt ihrer Entdeckung weiter an.

Die Datenbank enthält die Kontaktdaten von mehreren Millionen Influencern, Prominenten und Markengrößen. Darunter befinden sich laut Techcrunch einige sehr populäre und einflussreiche Influencer, beispielsweise Food Blogger. Jeder Eintrag enthält zunächst einmal frei zugängliche Daten aus Instagram-Profilen wie Biografie, Profilbild, Anzahl der Follower, den Eintrag, ob der Account verifiziert ist, sowie Ort und Land des Instagramnutzers. Vor allem aber waren auch private und somit nicht frei zugängliche Kontaktinformationen des Instagramnutzers wie Mailadresse und Telefonnummer in der Datenbank enthalten.

Techcrunch konnte den Weg der Datenbank zurückverfolgen. Und zwar zu der in Mumbai sitzenden Social-Media-Marketing-Firma Chtrbox . Diese Firma bezahlt Influencer dafür, dass diese Werbecontent auf ihren Kanälen veröffentlichen. Dazu passend gibt es zu jedem Datenbanksatz in der entdeckten Datenbank einen Eintrag, in dem der Wert des jeweiligen Social-Media-Kontos vermerkt ist. Dieser Wert wird offensichtlich basierend auf der Zahl der Follower, des Engagements, der Reichweite und der Likes und Shares berechnet. Davon ausgehend entschied die indische Firma dann, wie viel sie dem jeweiligen Influencer für ein Werbe-Posting bezahlt.

Stichprobenartig wurden einige der gefundenen Telefonnummern überprüft. Zwei der angeschriebenen Kontakte antworteten und bestätigten die Echtheit von Mailadresse und Telefonnummer. Die Beiden dementierten aber zugleich einen Kontakt zu Chtrbox.

Chtrbox hat die Datenbank mittlerweile offline genommen. Eine Stellungnahme zu dem Vorfall gab das Marketingunternehmen nicht ab, auch nicht zu der Frage, woher es die nicht frei zugänglichen Telefonnummern und Mailadressen der Instagram-Nutzer erhalten habe.
Facebook, dem Instagram gehört, erklärte gegenüber Techcrunch, dass es den Vorfall untersuche, um herauszufinden, woher insbesondere die Telefonnummern und Mailadressen der Instagramnutzer stammen.

Instagram-Influencerin vor Gericht: Schleichwerbung oder Meinungsfreiheit?

Instagram und Facebook: Die Influencer-Strategien der Stars

Luxus-Hotel verbannt Social Media Influencer

PC-WELT Marktplatz

2429997