MSI RTX-Steam-On

Ungeschützte Datenbank enthält Kontaktdaten von Millionen Instagram-Nutzern

Meldung von doelf, Mittwoch der 22.05.2019, 15:18:42 Uhr

Wie TechCrunch berichtet, hat der Sicherheitsforscher Anurag Sen eine Datenbank mit Kontaktdaten von 49 Millionen Instagram-Nutzern auf einem Cloud-Server von Amazon entdeckt. Die Betreiber der zum Zeitpunkt ihrer Entdeckung noch wachsenden Datenbank hatten vergessen, diese mit einem Passwort abzusichern. Zudem deutet vieles auf eine illegale Datensammlung hin.

Datenbank ohne Passwortschutz auf öffentlich zugänglichem Cloud-Server
Der Cloud-Server wurde offenbar von der indischen Firma Chtrbox, die auf das Marketing über soziale Netzwerke spezialisiert ist, angemeldet. Chtrbox bezahlt Influencer für die Veröffentlichung von Werbebeiträge auf Instagram. Dementsprechend enthalten die Datenbankeinträge die Namen der Influencer, ihre Biografie, Profilbilder, Standort und die Zahl ihrer Abonnenten. Zudem finden sich die privaten Kontaktinformationen wie E-Mail-Adresse und Telefonnummer sowie eine Werteinstufung basierend auf der Zahl der Follower sowie ihrer Reichweite und Aktivitäten.

TechCrunch hat bekannte Influencer, Food-Blogger und Prominente über die gefundenen Telefonnummern kontaktiert. Dabei zeigte sich nicht nur, dass deren Kontaktdaten korrekt sind, sondern auch, dass die Firma Chtrbox den Betroffenen vollkommen unbekannt ist. Hinzu kommt, dass Chtrbox nicht einmal annähernd 49 Millionen Instagram-Nutzer für seine Werbeaktivitäten beschäftigt. Damit stellt sich die Frage, auf welchem Wege die indische Firma an diese sensiblen Daten gelangt ist. Anfragen von TechCrunch wurden nicht beantwortet, doch zumindest ist die Datenbank inzwischen offline.

UPDATE: Chtrbox hat auf seiner Webseite zwischenzeitlich eine Stellungnahme veröffentlicht. Das Unternehmen gesteht ein, dass es eine Datenbank über einen Zeitraum von 72 Stunden ungeschützt im Netz betrieben hat. Nach der Entdeckung dieses Fehlers habe man den Zugriff unverzüglich abgesichert. Entgegen der Meldung von TechCrunch habe es maximal 350.000 Datensätze gegeben und keiner davon habe Kontaktinformationen erhalten. Dies wirft die Frage auf, wie TechCrunch diese nicht vorhandenen Kontaktdaten von gar nicht gespeicherten Instagram-Nutzern verwenden konnte, um diese telefonisch zu kontaktieren.

Alles riecht nach illegalem Scraping
Sofern die Angaben von TechCrunch stimmen, deuten die Größe der Datenbank und das Wachstum bei ihrer Entdeckung auf ein massives Abgrasen von Nutzerdaten hin - diesen Vorgang nennt man auch Scraping. Nach einem Vorfall vor zwei Jahren hatte die Instagram-Mutter Facebook versprochen, die entsprechende Programmierschnittstelle abzuhärten. Programme wie der Instagram Super Scrapper des Inders Neeraj Singh funktioneren seither nicht mehr richtig. Allerdings schrieb der Entwickler vor 19 Tagen, dass er an einer neuen Version arbeite. Als Wohnort nennt Singh die indische Stadt Mumbai, die Zugleich der Firmensitz von Chtrbox ist.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]