Gegenüber TechCrunch.com gab Sicherheitsforscher Anurag Sen bekannt, dass er auf eine völlig ungesicherte Datenbank mit Informationen zu Millionen Instagram-Nutzerkonten gestoßen ist. Die Datenbank wurde über Amazon Web Services (AWS) bereitgestellt und konnte ohne IP- oder Passwort-Schutz eingesehen werden.


Daten von Social-Media-Vermarktungsfirma hochgeladen
Dem Sicherheitsforscher gelang es, die Datenbank dem indischen Social-Media-Markenting-Unternehmen Chtrbox zuzuordnen. Die Firma ist auf die bezahlte Vermarktung von Produkten über Social-Media-Kanäle spezialisiert. Dies erklärt auch die Funde in der völlig frei zugänglichen Datenbank: Neben öffentlichen Profilinformationen befinden sich auch Bewertungen in der Datenbank, wie viel jedes Instagram-Konto wert ist. Die Güte des Accounts richtet sich nach der Anzahl der Follower, Reaktionen auf Posts und geteiltem Content.

Neben diesen Eintragungen finden sich allerdings auch nicht öffentlich zugängliche Informationen in dem Verzeichnis – nämlich die E-Mail-Addresse und/oder die Telefonnummer der Kontoinhaber. Zugangsinformationen wie Passwörter sind aber nicht hinterlegt.

Facebook: Untersuchung eingeleitet, Herkunft bislang schleierhaft
Wie diese immense Datenbank mit 49 Millionen Nutzerkonten erstellt wurde, ist unbekannt. Viele der Anwender standen nach eigenen Aussagen nie in Kontakt mit Chtrbox. Der Mutterkonzern von Instagram, nämlich Facebook, will sich des großen Datenlecks annehmen und die Herkunft der Daten überprüfen – laut Facebook ist es nämlich nicht gesichert, dass diese aus einer Sicherheitslücke bei Instagram stammen.

Nach dem Erscheinen des Berichts auf TechCrunch.com nahm Chtrbox die Datenbank offline – zuvor beobachtete der Sicherheitsforscher die Datenbank und konnte feststellen, wie kontinuierlich neue Nutzerkonten eingepflegt wurden.