Instagram: i dati di 49 milioni di utenti esposti online

I dati di contatto privati di Instagram di milioni di persone potrebbero essere stati oggetto di furto, secondo quanto riportato dall’autorevole sito TechCrunch. È stato infatti trovato online un enorme database che conteneva le informazioni di contatto di oltre 49 milioni di utenti, tra influencer e account ufficiali di brand e celebrità.

Il database, ospitato su Amazon Web Services, non aveva password e quindi consentiva a chiunque di leggere i dati che conteneva (oltre 49 milioni di record in continuo aumento).

Da una breve analisi, è risultato che ogni record raccoglieva dati pubblici ricavati da account Instagram di influencer (biografia, foto del profilo, numero di follower, informazioni su account verificati e posizione per città e nazione), ma anche informazioni di contatto private, come l’indirizzo e-mail e il numero di telefono del proprietario dell’account.

Le indagini di Anurag Sen

Il security researcher Anurag Sen ha scoperto il database e ha tentato di trovarne il proprietario per assicurarsi che venisse messo al sicuro. È emerso quindi il collegamento con Chtrbox, azienda di marketing operante nei social media e basata a Mumbai, che paga gli influencer per pubblicare contenuti sponsorizzati sui loro account. Ogni elemento nel database conteneva anche un record che calcolava il valore di ciascun account, in base al numero di follower, engagement, reach, like e azioni. Questo record veniva usato come parametro per determinare quanto l’azienda avrebbe potuto pagare una celebrità o un influencer per pubblicare un contenuto.

Due delle persone i cui dati erano inclusi nel database hanno confermato che avevano utilizzato l’indirizzo e-mail e il numero di telefono trovati per impostare i loro account Instagram. Ma nessuno dei due influencer sembra aver avuto a che fare con Chtrbox.

Poco dopo la scoperta, Chtrbox ha bloccato l’accesso al database. Pranay Swarup, fondatore e amministratore delegato dell’azienda, non ha commentato i fatti né ha risposto a chi gli ha chiesto in che modo l’azienda abbia ottenuto gli indirizzi e-mail e i numeri di telefono privati ​​dagli account Instagram.

Furto di dati da Instagram: i precedenti

La prova del furto di dati da Instagram arriva due anni dopo che il social network ha ammesso che un errore di sicurezza nella sua API per gli sviluppatori ha permesso a degli hacker di ottenere gli indirizzi e-mail e i numeri di telefono di sei milioni di account. Gli hacker in seguito hanno venduto i dati in cambio di bitcoin. Solo mesi dopo, Instagram, che ora ha più di un miliardo di utenti, ha ridotto l’accesso alle sue API per limitare il numero di richieste che le app e gli sviluppatori possono fare sulla piattaforma.

Nel frattempo, Facebook, proprietaria di Instagram, ha dichiarato:

“Stiamo esaminando il problema per capire se i dati descritti, inclusi i numeri e le e-mail, provenissero da Instagram o da altre fonti”, viene affermato in una dichiarazione, “stiamo anche chiedendo a Chtrbox di capire da dove vengano questi dati e come siano diventati pubblicamente disponibili”.