Die indische PR-Firma Chtrbox bezahlt Influencer für Werbung. Jetzt sind durch ein Instagram-Leak private Kontaktdaten von 49 Millionen Nutzern ins Netz gelangt. Wo ist der versprochene Datenschutz geblieben?
Wie das Tech-Magazin Techcrunch berichtet, hatte Chtrbox die Datenbank ohne Passwortschutz offen in der Cloud von Amazon Web Services abgelegt. Der Sicherheitsforscher Anurag Sen hatte sie entdeckt und Techcrunch informiert. Inzwischen sind die Daten wieder aus dem Internet verschwunden.
In der Datenbank waren öffentliche Informationen wie Follower-Zahlen, Profilbilder, Biografien und Standorte gespeichert. Aber auch private Daten wie E-Mail-Adressen und Telefonnummern der Nutzer waren einfach einzusehen.
Von dem Instagram-Leak betroffen waren vor allem Influencer mit mehreren Tausend Followern, Food-Blogger und andere Prominente.
Instagram-Leak: Woher hatte Chtrbox die Daten?
Auf Nachfrage von Techcrunch haben viele Influencer nicht einmal mit der indischen PR-Firma zusammengearbeitet. Deshalb stellt sich die Frage, woher Chtrbox überhaupt die privaten Kontaktdaten von 49 Millionen Nutzern hatte. Das Unternehmen zählt nach eigenen Angaben nur 185.000 Kunden.
Eine Sprecherin von Instagram sagte in einer Erklärung: „Wir untersuchen, ob ein Dritter unsachgemäß Instagram-Daten gespeichert hat, was gegen unsere Richtlinien verstößt.“ Es sei nicht klar, ob die Telefonnummern und E-Mail-Adressen in der Chtrbox-Datenbank wirklich von der Foto-Plattform stammen.
Chtrbox selbst hat zu dem Vorfall bislang kein Statement abgegeben.
Der nächste Datenschutz-Skandal
Für Facebook und seine Tochter-Plattformen WhatsApp und Instagram ist die Chtrbox-Datenbank nicht weniger als die nächste Datenlücke in einer langen Reihe. Erst diesen Mai hatten israelische Hacker WhatsApp angegriffen und private Inhalte ausgespäht.
Anfang April 2019 wurde zudem eine Datenbank mit 540 Millionen Kundendaten von Facebook-Nutzern öffentlich zugänglich auf Amazon-Cloud-Servern gespeichert. Und im März 2019 wurde bekannt, dass Facebook 600 Millionen Passwörter unverschlüsselt abgespeichert hatte.
Fest steht: Es fällt schwer, den Instagram-Leak nicht als nächsten Datenschutz-Skandal einzustufen. Auch wenn die genauen technischen Hintergründe noch unklar sind, haben Facebook-Chef Mark Zuckerberg und sein Team viel Arbeit vor sich.
Schließlich scheint Facebook nicht in der Lage zu sein, die Daten seiner Nutzer und die eigenen Schnittstellen zuverlässig zu schützen.
Instagram entzieht Chtrbox den Zugang
Chtrbox selbst hat bestätigt, dass sie eine begrenzte Anzahl von Influencer-Telefonnummern und E-Mail-Adressen auf verschiedene Arten in der Datenbank erhalten haben.
Demnach habe die Firma auch Informationen gesammelt, die öffentlich über das Instagram-Profil von jemandem geteilt wurden, zum Beispiel in der Profilbeschreibung.
Diese Aktivität verstößt gegen die Plattformrichtlinien, deshalb hat Instagram der PR-Firma den Zugang entzogen.
Update, 24. Mai 2019, 12 Uhr
TechCrunch, von denen die Informationen ursprünglich stammen, haben ihren Artikel korrigiert: Demnach hatte Chtrbox die Daten von 350.000 Nutzern in der Datenbank gespeichert, nicht wie vorher berichtet von 49 Millionen.
Außerdem sollen die Informationen aus vielen Quellen stammen, und nicht spezifisch von Instagram. Betroffen seien auch andere soziale Netzwerke und Influencer, die Chtrbox direkt nutzen.
Ein Instagram-Sprecher machte in einem Statement zudem deutlich, dass Chtrbox nicht auf private Daten zugreifen konnte:
„Wir nehmen jeden Vorwurf des Datenmissbrauchs ernst. Nach einer ersten Untersuchung der getroffen Aussagen haben wir festgestellt, dass auf keine privaten E-Mail-Adressen oder Telefonnummern von Instagram-Nutzern zugegriffen wurde. Die Datenbank von Chtrbox enthielt öffentlich zugängliche Informationen aus vielen Quellen, darunter Instagram.“
Auch interessant:
