Skandal bei Instagram: Daten von diversen Influencern öffentlich einsehbar

**UPDATE – 24.Mai** Laut eines Statements von Instagram handelte es sich bei den Daten um öffentlich zugängliche, die nicht ausschließlich von Instagram selbst stammen. Private Daten seien zu keiner Zeit in die Datenbank gelangt. Chtrbox hingegen berichtet inzwischen nicht mehr von 49 Millionen betroffenen Nutzern, sondern korrigierte die Anzahl nach unten auf 350.000.

Eine Datenbank mit Informationen von angeblich Millionen Instagram-Nutzern wurde online entdeckt, wie TechCrunch berichtete. Die Daten, die für jeden einsehbar waren, beinhalteten nicht nur Informationen aus der Bio, Profilbild und Followeranzahl, sondern auch die private Daten wie E-Mail-Adressen und Handynummern der Nutzer.

Eine Sicherheitslücke bei Instagram?

Der Ursprung der Datenbank konnte zu dem Social Media Marketing-Unternehmen Chtrbox zurückverfolgt werden, das in Mumbai ansässig ist. Der Security Researcher Anurag Sen entdeckte die Datenbank und meldete sie TechCrunch. Nachdem TechCrunch Kontakt zu dem Unternehmen aufgenommen hatte, wurde die Datenbank aus dem Netz genommen. War zunächst fraglich, ob Chtrbox über Instagram Zugriff auf die Daten erhielt, ist inzwischen geklärt dass sie öffentlich zugänglich waren und von mehreren Quellen stammten. Ein Instagram-Sprecher bestätigt die neuen Erkenntnisse in einem Statement:

Wir nehmen jeden Vorwurf des Datenmissbrauchs ernst. Nach einer ersten Untersuchung der getroffenen Aussagen haben wir festgestellt, dass auf keine privaten E-Mail-Adressen oder Telefonnummern von Instagram-Nutzern zugegriffen wurde. Die Datenbank von Chtrbox enthielt öffentlich zugängliche Informationen aus vielen Quellen, darunter Instagram. 

Chtrbox konnte nach Angaben Instagrams zu keinem Zeitpunkt auf nicht-öffentliche private Daten der Nutzer in der API zugreifen, sondern lediglich auf die Likes. Die in der Datenbank veröffentlichten Telefonnummern und E-Mail-Adressen habe Chtrbox demnach von öffentlichen Profilen gesammelt. Da dieses Vorgehen gegen die Richtlinien verstößt, hat Instagram dem indischen Anbieter den Zugang zur Plattform entzogen. Chatrbox gibt an, die Daten zusätzlich über zwei weitere Wege erhalten zu haben: Von Nutzern des Anbieters, die sich direkt auf Chtrbox angemeldet haben sowie durch Online-Recherchen, Offline-Marketing und Treffen vor Ort.

In der Datenbank hatte das Unternehmen den Wert der Accounts, unter denen sich auch diverse namhafte Nutzer wie bekannte Foodblogger, Celebrities oder andere Social Media Influencer befanden, nach Followerzahl, Engagement, Reichweite etc. bewertet, um bestimmen zu können, wie viel ein Influencer pro gesponsertem Post bezahlt bekommen würde. Nach eigenen Aussagen hatte keiner der kontaktierten Betroffenen bisher mit Chtrbox zu tun. Auch Mutterkonzern Facebook hat jetzt Kontakt zu Chtrbox aufgenommen, um herauszufinden, woher die Daten kamen:

We’re looking into the issue to understand if the data described – including email and phone numbers – was from Instagram or from other sources. We’re also inquiring with Chtrbox to understand where this data came from and how it became publicly available.

Keine Schwachstelle auffindbar

Zu Beginn gab Facebook an, Konsequenzen zu ziehen und weitere Schritte einzuleiten, um zu verhindern, dass etwas Derartiges erneut passiert: „Scraping of all kind is against our Terms of Use and we will take action on sites we find in violation of our terms“, so ein Sprecher. Zwischenzeitlich vorgenommene interne Untersuchungen Instagrams, haben laut der Plattform keine Schwachstelle finden können, die es Dritten ermöglicht hätte, auf private Kontaktinformationen zuzugreifen.

Instagram war bisher weitestgehend von Datenskandalen verschont geblieben. Lediglich an den Vorfall vor zwei Jahren, bei dem eine Sicherheitslücke es Hackern ermöglichte, auf die Adressen und Telefonnummern von sechs Millionen Accounts zuzugreifen, werden einige sich erinnern. Zudem waren während einer Datensicherheitspanne bei Facebook auch die Passwörter von Instagram-Nutzern nicht verschlüsselt online einsehbar gewesen.