Fehlender Passwortschutz Private Daten von Instagram-Nutzern im Netz

Die Firma Chtrbox bezahlt Instagram-Influencer für Werbung. Nun kam heraus: Sie hatte Daten von mindestens 350.000 Nutzern ungeschützt in der Cloud abgelegt. Ein US-Medium hatte von 49 Millionen Betroffenen berichtet.

Menschen vor einem Instagram-Logo
REUTERS

Menschen vor einem Instagram-Logo


Immer wieder versäumen es Kunden von Amazons Clouddienst AWS, ihre gemieteten Online-Speicher ordentlich abzusichern. Das jüngste Beispiel ist die indische Firma Chtrbox. Sie hatte bei Amazon eine Datenbank mit bekannten Instagram-Nutzern hinterlegt: Influencer, Prominente, Marken-Accounts.

Gespeichert hatte Chtrbox jeweils die öffentlich zugänglichen Daten wie Followerzahlen, Foto, Biografie und Standort - aber auch nicht-öffentliche Daten wie Telefonnummern und E-Mail-Adressen. Die Datenbank war nicht passwortgeschützt und damit für jeden frei zugänglich, der sie finden konnte, berichtet "TechCrunch".

Ein Sicherheitsforscher hatte die Datenbank entdeckt. "TechCrunch" kontaktierte daraufhin mehrere Menschen, die darin aufgeführt waren. Zumindest zwei von ihnen bestätigten die Echtheit ihrer Daten. Allerdings sagten beide, dass sie nichts mit Chtrbox zu tun hätten.

Chtrbox hatte nach eigenen Angaben nie mehr als 350.000 Kunden

Das in Mumbai sitzende Unternehmen vermittelt zwischen Social-Media-Influencern und Marken, die Werbung machen wollen. Die Influencer werden je nach ihrer Reichweite für gesponserte Inhalte bezahlt.

Nach einer Benachrichtigung von "TechCrunch" nahm Chtrbox die Datenbank vom Netz - die Firma beantwortete aber zunächst keine Fragen zu dem Vorfall. In einem am Mittwoch veröffentlichten Statement wies es die im Bericht genannten Zahlen aber zurück. Chtrbox habe niemals mehr als 350.000 Datensätze von Influencern gehabt. Die Daten seien zudem allesamt öffentlich zugänglich gewesen oder von den Influencern selbst an Chtrbox weitergegeben worden. Die Datenbank sei außerdem nur 72 Stunden lang zugänglich gewesen - was wiederum der Sicherheitsforscher, der sie entdeckt hatte, bestreitet. Er habe sie bereits am 14. Mai einsehen können.

Ein Instagram-Sprecher schloss eine technische Schwachstelle in Instagram aus und teilte am Freitag mit: "Nach einer ersten Untersuchung der getroffenen Aussagen haben wir festgestellt, dass auf keine privaten E-Mail-Adressen oder Telefonnummern von Instagram-Nutzern zugegriffen wurde." Gemeint ist ein automatischer Zugriff über die Instagram-API (Schnittstelle für Entwickler). "Die Datenbank von Chtrbox enthielt öffentlich zugängliche Informationen aus vielen Quellen, darunter Instagram."

"TechCrunch" hat seinem Bericht die Statements von Chtrbox und Instagram hinzugefügt, bleibt aber bei der ursprünglichen Aussage, die Datenbank habe 49 Millionen Datensätze enthalten.

Hinweis: Dieser Artikel wurde an mehreren Stellen aktualisiert, nachdem sich Chtrbox und Instagram gemeldet haben.

pbe

Mehr zum Thema


insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
Beat Adler 21.05.2019
1. Social Media Skandal um Skandal, Reaktion ist Schulterzucken
Social Media Skandal um Skandal, Reaktion ist Schulterzucken Es wird hoechste Zeit aufzuwachen und diesen Social Medien, besonders Facebook et.al, unter die Fittiche der Gesetzgebung fuer Medien zu nehmen. Datenkraken, die im Ruecken ihrer lieben Users, Alles buendeln und weiterverkaufen, beeinflussen heute nicht "nur" die Wahl eines Konsumgutes, sondern auch die politischen Wahlen. mfG Beat
mopsfidel 21.05.2019
2. Alles ein großer Intelligenztest
Zitat von Beat AdlerSocial Media Skandal um Skandal, Reaktion ist Schulterzucken Es wird hoechste Zeit aufzuwachen und diesen Social Medien, besonders Facebook et.al, unter die Fittiche der Gesetzgebung fuer Medien zu nehmen. Datenkraken, die im Ruecken ihrer lieben Users, Alles buendeln und weiterverkaufen, beeinflussen heute nicht "nur" die Wahl eines Konsumgutes, sondern auch die politischen Wahlen. mfG Beat
Und oben drein ein Warnmelder für die unbeschreibliche Gier nach Geld.
sven2016 21.05.2019
3. Wer bei Facebook-Ablegern unterwegs
ist, müsste gelernt haben, dass seine persönlichen Daten Handelsgut sind und sich darauf eingestellt haben. Die Datensicherheit ist klar erkennbar kein echtes Unternehmensanliegen, also macht so viel Geld wie möglich damit und akzeptiert das Prinzip. Wer keine finanziellen Interessen und Tagesfreizeit hat, sollte sich von dem Spinnennetz fernhalten.
aufmerksamer_bürger 21.05.2019
4. Zeit, auch mal grundsätzlich ...
... über Influecing nachzudenken. Es hab mal Jahre, da galt die Nichtkäuflichkeit von Meinungen als hoher Wert. Das ist vorbei, und die (jungen?) Leute finden's auch nich toll. Gier frisst Moral. Auf dieser Grundlage funktionieren die "sozialen" Medien nur zu gut. Letztlich eher selber schuld.
appenzella 21.05.2019
5. Zuckerbergs fakebook kann man benutzen, muß aber nicht,
ist ja freiwillig, seine persönlichen Daten zu verschenken. Mach doch, was Du für richtig hälst. Als ich mich anmelden wollte, wurden immer mehr persönliche Informationen abgefragt. Da habe ich die Anmeldung beendet und bekomme gelegentlich eine mail mit der Aufforderung: Zeig dich deinen Freunden. Mein Fazit: Ich komme ohne fakebook, zwitter und linkedin prächtig klar. Und ein cleverer Indianerfreund, der Herr Zuckerb. der kein Trinkgeld im Restaurant geben mag ist vielfacher Milliardär. Na sowas! Geht doch! Auch ohne meine Daten..
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.