Fehlender Passwortschutz: Private Daten von Instagram-Nutzern im Netz

Die Firma Chtrbox bezahlt Instagram-Influencer für Werbung. Nun kam heraus: Sie hatte Daten von mindestens 350.000 Nutzern ungeschützt in der Cloud abgelegt. Ein US-Medium hatte von 49 Millionen Betroffenen berichtet.

Menschen vor einem Instagram-Logo

Foto: Dado Ruvic/ REUTERS

Immer wieder versäumen es Kunden von Amazons Clouddienst AWS, ihre gemieteten Online-Speicher ordentlich abzusichern. Das jüngste Beispiel ist die indische Firma Chtrbox. Sie hatte bei Amazon eine Datenbank mit bekannten Instagram-Nutzern hinterlegt: Influencer, Prominente, Marken-Accounts.

Gespeichert hatte Chtrbox jeweils die öffentlich zugänglichen Daten wie Followerzahlen, Foto, Biografie und Standort - aber auch nicht-öffentliche Daten wie Telefonnummern und E-Mail-Adressen. Die Datenbank war nicht passwortgeschützt und damit für jeden frei zugänglich, der sie finden konnte, berichtet "TechCrunch" .

Ein Sicherheitsforscher hatte die Datenbank entdeckt. "TechCrunch" kontaktierte daraufhin mehrere Menschen, die darin aufgeführt waren. Zumindest zwei von ihnen bestätigten die Echtheit ihrer Daten. Allerdings sagten beide, dass sie nichts mit Chtrbox zu tun hätten.

Chtrbox hatte nach eigenen Angaben nie mehr als 350.000 Kunden

Das in Mumbai sitzende Unternehmen vermittelt zwischen Social-Media-Influencern und Marken, die Werbung machen wollen. Die Influencer werden je nach ihrer Reichweite für gesponserte Inhalte bezahlt.

Nach einer Benachrichtigung von "TechCrunch" nahm Chtrbox die Datenbank vom Netz - die Firma beantwortete aber zunächst keine Fragen zu dem Vorfall. In einem am Mittwoch veröffentlichten Statement wies es die im Bericht genannten Zahlen aber zurück. Chtrbox habe niemals mehr als 350.000 Datensätze von Influencern gehabt. Die Daten seien zudem allesamt öffentlich zugänglich gewesen oder von den Influencern selbst an Chtrbox weitergegeben worden. Die Datenbank sei außerdem nur 72 Stunden lang zugänglich gewesen - was wiederum der Sicherheitsforscher, der sie entdeckt hatte, bestreitet. Er habe sie bereits am 14. Mai einsehen können.

Ein Instagram-Sprecher schloss eine technische Schwachstelle in Instagram aus und teilte am Freitag mit: "Nach einer ersten Untersuchung der getroffenen Aussagen haben wir festgestellt, dass auf keine privaten E-Mail-Adressen oder Telefonnummern von Instagram-Nutzern zugegriffen wurde." Gemeint ist ein automatischer Zugriff über die Instagram-API (Schnittstelle für Entwickler). "Die Datenbank von Chtrbox enthielt öffentlich zugängliche Informationen aus vielen Quellen, darunter Instagram."

"TechCrunch" hat seinem Bericht die Statements von Chtrbox und Instagram hinzugefügt, bleibt aber bei der ursprünglichen Aussage, die Datenbank habe 49 Millionen Datensätze enthalten.

Hinweis: Dieser Artikel wurde an mehreren Stellen aktualisiert, nachdem sich Chtrbox und Instagram gemeldet haben.

pbe