Skandal auf Instagram: Daten von Millionen öffentlichen Accounts für Marketingzwecke missbraucht

In einem erneuten Datenskandal zeigt sich diesmal nicht Mutterkonzern Facebook, sondern die Fotoplattform Instagram von ihrer unzureichend geschützten Seite. Am vergangenen Mittwoch stellte sich heraus, dass ein Marketing-Partner der Plattform die Daten von Millionen Nutzern gesammelt und gespeichert hat, um diese für Marketing-Zwecke zu nutzen, wie Business Insider berichtet.

Start-Up Hyp3r sammelte unentdeckt Nutzerdaten auf Instagram

Das Start-Up Hyp3r wird offiziell von Facebook als Marketing-Partner gelistet und Werbetreibenden vorgeschlagen, die Facebook für ihr Advertising nutzen möchten. Dabei machte das Start-Up keinen Hehl daraus, was sein Geschäftsmodell ist. Insbesondere geht es Hyp3r um die Standortdaten der Instagram-Nutzer. Das Unternehmen ist auf User Targeting spezialisiert, das es möglich macht, Werbung beispielsweise für die Besucher eines Konzertes auszuspielen. Die Tatsache, dass Standorte genutzt werden, um passendere Ads an die Nutzer zu bringen, sollte nicht unbekannt sein. Doch Hyp3r geht noch weiter. Das Unternehmen speichert ein exaktes Standortprotokoll, analysiert zusätzlich Daten aus den hochgeladenen Fotos und greift dabei sogar auf Instagram-Stories zurück, ein Format das eigentlich nach 24 Stunden gelöscht wird. Dadurch ist es dem Start-Up möglich, sogenannte Shadow Profiles der Nutzer anzulegen.

Es war allgemein bekannt, womit Hyp3r sein Geld verdient

Die API, über die dies jahrelang geschah, war ab Anfang 2018, nach dem Cambridge Analytica-Skandal, nicht mehr zugänglich für derartige Datensammlungen – so dachte Instagram zumindest bisher. Doch anscheinend stellten die Maßnahmen, die Instagram zum Schutz der Nutzer ergriffen hatte, keine große Herausforderung dar und so fand Hyp3r einen Weg, genau so weiterzumachen wie bisher. Rob Price tweetete nach der Veröffentlichung seines Artikels auf Business Insider auf welchem Weg es möglich war, automatische Datensammlung in einem derartigen Ausmaß zu betreiben.

Instagram inadvertently provided an easy way for HYP3R to harvest users’ data by leaving a publicly accessible javascript package containing data on all public pages, even after it locked down its platform following Cambridge Analytica. It’s now making multiple changes. pic.twitter.com/ZgnBqf3BRk

— Rob Price (@robaeprice) August 7, 2019

„HYP3R’s actions were not sanctioned and violate our policies“, gab ein Sprecher von Instagram zu Protokoll, doch Hyp3r selbst sieht das Ganze folgendermaßen:

HYP3R is, and has always been, a company that enables authentic, delightful marketing that is compliant with consumer privacy regulations and social network Terms of Services. We do not view any content or information that cannot be accessed publicly by everyone online.

Schließlich hat das Unternehmen nur Daten von auf öffentlich gestellten Accounts gesammelt, was ihrer Ansicht nach in Hinblick auf die Terms of Service von Instagram nicht unrechtlich sei.

Jetzt wurde das Start-Up von der Plattform entfernt

Nachdem Business Insider mit der Entdeckung auf Instagram zugekommen war, wurde Hyp3r von der Plattform entfernt.

[…] we’ve removed them from our platform. We’ve also made a product change that should help prevent other companies from scraping public location pages in this way,

so ein Sprecher von Instagram. Ab sofort hat das Unternehmen keine Zugriff mehr auf die API. Außerdem wurden Veränderungen vorgenommen, die auch öffentliche Accounts davor schützen, dass ihre Standorte gesammelt werden. Dass jedoch vorher niemand bemerkt haben will, auf welche Weise Hyp3r die zum Targeting nötigen Daten sammelt, ist höchst bedenklich. Wie Devin Coldewey von TechCrunch schreibt, können wir auf ein Statement von Facebook gespannt sein, wie diese unrechtliche Datenerfassung so lange möglich war und welche Überprüfungsmaßnahmen andere Marketing-Partner von Facebook nun eventuell erwarten.