Datos personales millones de influencers de Instagram, al descubierto
Un nuevo día, un nuevo escándalo de seguridad para Facebook. En esta ocasión, afecta a su red social de fotografías, Instagram.
Instagram tuvo un problema de seguridad en su API que permitía a apps de terceros acceder a información personal de los usuarios
Un investigador de seguridad llamado Anurag Sen ha encontrado una base de datos en Amazon Web Services que albergaba, sin ningún tipo de contraseña ni protección, datos personales de al menos 49 millones de personas influyentes en la aplicación.
Al parecer, los datos habrían sido recopilados mediante técnicas de scrapping y, entre ellos, se encontraba la bio, imagen de perfil, número de seguidores que tenían, información sobre si estaban verificados los perfiles o no, la ciudad de residencia y el país. Hasta ahí, todo son datos que se pueden obtener de forma pública, pero el problema es que también se encontraba entre esa información otros datos de carácter privado como pueden ser las direcciones de correo o los número de teléfono personales, aquellos que emplearon para abrir sus cuentas en Instagram.
Junto a esta información, además, se encontraba un valor numérico que determinaba, en base al número de seguidores, alcance, engagement, «me gustas», compartidos… de cada cuenta, el precio que podría pagar una compañía por una publicación promocionada en Instagram. Es decir, se trata de una base de datos elaborada por alguna agencia de influencers que ha sido publicada en Amazon Web Services y ha quedado, se desconoce por cuanto tiempo, accesible para cualquier persona.
Según ha podido saber TechCrunch, la base de datos podría pertenecer a Chtrbox, una empresa de social media marketing con sede en Mumbai (India), que gestiona publicaciones pagadas en perfiles de influencers. De hecho, algunos de los nombres que se encuentran en la base de datos corresponden a usuarios de gran nivel y millones de usuarios en la plataforma. Cantantes, bloggers muy conocidos y otros influencers se encontrarían entre las cuentas afectadas.
Tras contactar con Chtrbox, la base de datos fue retirada de Amazon Web Services. El problema, de todas maneras, no es en sí de la agencia, sino de cómo la compañía consiguió esos datos personales con los que los usuarios se inscribieron en Instagram.
Hay que tener en cuenta que hace dos años Instagram ya admitió un problema de seguridad en su API que permitía a los ciberdelincuentes obtener las direcciones de correo electrónico y los números de teléfono de los usuarios. Al parecer, en aquella ocasión 6 millones de cuentas se vieron comprometidas y la información fue vendida en Internet en Bitcoins.
Tras aquel escándalo, Instagram modificó su API para que no se pudieran hacer peticiones de grandes cantidades de información de los usuarios desde aplicaciones de terceros. Pudiera ser que la información de Chtrbox procediese de aquella venta, o que se hubieran producido más accesos ilícitos sin que Instagram hubiera advertido la situación.