Facebook lleva ya varios casos en el último año donde se ha revelado que dejaron contraseñas en texto plano al alcance de otras personas, ya fueran trabajadores o hackers externos a la empresa. Ahora, un nuevo fallo de seguridad ha puesto en manos de atacantes una base de datos de 49 millones de usuarios de Instagram, entre los que se encuentran los usuarios con más popularidad en la red social.
Una empresa de marketing, culpable de la filtración de datos personales de millones de influencers de Instagram
El investigador de seguridad Anurag Sen encontró en la red una base de datos de usuarios de Instagram que contenía información de contacto de millones de influencers, famosos y cuentas de marcas. Esta base de datos estaba almacenada en un servidor de Amazon Web Services, y estaba disponible sin ningún tipo de protección, con lo que cualquier persona con la URL podía acceder a ella. Además, la base de datos estaba en constante actualización.
Entre los datos obtenidos de las principales cuentas se encontraba su bio, su foto de perfil, número de seguidores, si tenían la cuenta verificada, su ubicación (ciudad y país), e información personal de contacto, como la dirección de email asociada a la cuenta y el número de teléfono.
La base de datos parece provenir de la empresa de marketing en redes sociales Chtrbox, con sede en Mumbai (India). Esta empresa paga a los influencers a cambio de posts patrocinados en sus cuentas de Instagram. En la base de datos también había una estimación de cuánto creían que valía cada cuenta basado en datos como número de seguidores, alcance, likes repercusión, etc. A través de esa estimación, calculaban cuánto tenían que pagar a un influencer para poner un anuncio.
Facebook ha contactado con la empresa para ver cómo han conseguido obtener los datos
TechCrunch, que es quien ha revelado el caso, tuvo acceso a la base de datos, y encontró datos de bloggers de comida, famosos, marcas y otros influencers de Instagram. Además, contactaron con varios usuarios al azar de la base de datos para comprobar si esos eran sus números de teléfono y sus direcciones de correo electrónico reales. Curiosamente, a los que le preguntaron no tenían en ninguno de los casos ninguna relación con la empresa que había elaborado el listado.
Después de comprobarlo, contactaron con Chtrbox, quien quitó la base de datos de inmediato. La compañía no respondió sobre cómo habían conseguido esa información de usuarios de Instagram, la cual es privada. Recientemente, un bug en una API de desarrollo de Instagram permitió el robo de datos como el email y números de teléfono a seis millones de cuentas de Instagram. Los hackers que se aprovecharon de la vulnerabilidad posteriormente vendieron los datos a cambio de bitcoins.
Facebook afirma que está investigando el suceso para ver si los datos fueron obtenidos a través de un fallo de Instagram, o si ha sido una base de datos elaborada por el acceso de una herramienta de terceros. También han contactado directamente con Chtrbox para ver si les dicen de dónde han conseguido obtener todos esos datos.
ACTUALIZACIÓN: Instagram ha comentado el caso, y afirma que no son 49 millones de usuarios en la base de datos de Chtrbox, sino 350.000. La información privada de estos usuarios que fue revelada, como el número de teléfono o el email, no fue a través de la API de Instagram, donde tampoco encontraron ninguna vulnerabilidad.
Chtrbox dice que consiguió estos datos a través de gente que los facilitaba al loguearse en sus servicios, a través de compartirlo públicamente en sus perfiles de Instagram en la bio o en fotos, o de investigar a esos usuarios por Internet en otras redes sociales para ver si habían desvelado los datos por otra parte.
A raíz de este caso, Instagram ha revocado el acceso a la plataforma a Chrtbox por violar su política de privacidad.