Datos personales millones de influencers de Instagram, al descubierto

Instagram black logo

Un nuevo día, un nuevo escándalo de seguridad para Facebook. En esta ocasión, afecta a su red social de fotografías, Instagram.

Instagram tuvo un problema de seguridad en su API que permitía a apps de terceros acceder a información personal de los usuarios

Un investigador de seguridad llamado Anurag Sen ha encontrado una base de datos en Amazon Web Services que albergaba, sin ningún tipo de contraseña ni protección, datos personales de al menos 49 millones de personas influyentes en la aplicación.

Al parecer, los datos habrían sido recopilados mediante técnicas de scrapping y, entre ellos, se encontraba la bio, imagen de perfil, número de seguidores que tenían, información sobre si estaban verificados los perfiles o no, la ciudad de residencia y el país. Hasta ahí, todo son datos que se pueden obtener de forma pública, pero el problema es que también se encontraba entre esa información otros datos de carácter privado como pueden ser las direcciones de correo o los número de teléfono personales, aquellos que emplearon para abrir sus cuentas en Instagram.

Junto a esta información, además, se encontraba un valor numérico que determinaba, en base al número de seguidores, alcance, engagement, «me gustas», compartidos… de cada cuenta, el precio que podría pagar una compañía por una publicación promocionada en Instagram. Es decir, se trata de una base de datos elaborada por alguna agencia de influencers que ha sido publicada en Amazon Web Services y ha quedado, se desconoce por cuanto tiempo, accesible para cualquier persona.

Según ha podido saber TechCrunch, la base de datos podría pertenecer a Chtrbox, una empresa de social media marketing con sede en Mumbai (India), que gestiona publicaciones pagadas en perfiles de influencers. De hecho, algunos de los nombres que se encuentran en la base de datos corresponden a usuarios de gran nivel y millones de usuarios en la plataforma. Cantantes, bloggers muy conocidos y otros influencers se encontrarían entre las cuentas afectadas.

Tras contactar con Chtrbox, la base de datos fue retirada de Amazon Web Services. El problema, de todas maneras, no es en sí de la agencia, sino de cómo la compañía consiguió esos datos personales con los que los usuarios se inscribieron en Instagram.

Hay que tener en cuenta que hace dos años Instagram ya admitió un problema de seguridad en su API que permitía a los ciberdelincuentes obtener las direcciones de correo electrónico y los números de teléfono de los usuarios. Al parecer, en aquella ocasión 6 millones de cuentas se vieron comprometidas y la información fue vendida en Internet en Bitcoins.

Tras aquel escándalo, Instagram modificó su API para que no se pudieran hacer peticiones de grandes cantidades de información de los usuarios desde aplicaciones de terceros. Pudiera ser que la información de Chtrbox procediese de aquella venta, o que se hubieran producido más accesos ilícitos sin que Instagram hubiera advertido la situación.

Manuel Moreno

Periodista y fundador de TreceBits. Consultor y formador en Social Media. Ponente y conferenciante. Profesor de redes sociales y periodismo 2.0. Colaborador en prensa, radio y TV. Autor de cuatro libros de Social Media. Más información en manuelmoreno.es

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información sobre protección de datos

  • TreceBits te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Manuel Moreno Molina (TreceBits) como responsable de esta web.
  • La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.
  • Legitimación: Consentimiento del interesado.
  • Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de HOST EUROPE IBERIA S.L.U. (proveedor de hosting de TreceBits. HOST EUROPE IBERIA S.L.U. está ubicado en UE, en España un país cuyo nivel de protección son adecuados según la Comisión de la UE. Ver política de privacidad de HOST EUROPE IBERIA S.L.U.
  • Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@trecebits.comasí como el derecho a presentar una reclamación ante una autoridad de control.
  • Puedes consultar la información adicional y detallada sobre Protección de Datos en nuestra política de privacidad.