Neuer Instagram-Leak mit Kontaktdaten von Celebrities und Influencern

Wieder einmal wurden Kontaktdaten von hunderttausenden Instagram-Usern online in einer Datenbank gefunden. Diesmal sind es aber nicht normale Anwender die gehackt wurden, sondern vor allem Berühmtheiten, Unternehmen und Influencer.

Entdeckt wurde die Datenbank von Sicherheitsexperte Anurag Sen im Cloud-Speicher von Amazon Web Services. Als Besitzer der Datenbank konnte das indische Unternehmen Chtrbox ermittelt werden. Chtrbox sitzt in Mumbai und betreibt Social-Media-Marketing. Es bezahlt etwa Influencer für produktbezogene Beiträge.

Augenscheinlich enthielt die Datenbank auch Informationen zum Wert der Influencer und der Reichweite der Social-Media-Konten. Chtrbox war auf Anfragen nicht zu erreichen.

Woher die Daten stammen ist noch unklar

Über Twitter teilte das Unternehmen allerdings mit, dass es sich um 365.000 und nicht um – wie ursprünglich gemeldet – 49 Millionen Konten handeln soll. Außerdem war die Datenbank nur rund 72 Stunden online verfügbar. Ursprünglich soll die Datenbank allerdings schon seit Mitte Mai auf Shodan verfügbar gewesen sein, einer Suchmaschine speziell für ungeschützte Datenbanken und Geräte.

Das gleiche bestätigt auch Facebook, die Mutterfirma von Instagram, selbst. Es bleibt allerdings die Frage offen, wie Chtrbox oder der eigentliche Urheber der Datenbank an die Kontodaten gekommen ist? Normalerweise werden E-Mail-Adressen und Telefonnummern nicht angezeigt.

Nicht der erste Leak dieser Art

Für den letzten großen Leak von sechs Millionen Instagram-Konten vor zwei Jahren wurde eine Sicherheitslücke in Instagrams API verwendet, die das Sammeln (scraping) der Kontodaten ermöglichte.

Im letzten Jahr hat Instagram deshalb die Funktionen der APIs stark eingeschränkt. Konnten Entwickler davor bis zu 5.000 Aufrufe pro Stunde starten, waren es danach nur noch 200 Aufrufe. Das soll das automatische Auslesen von Daten durch Bots verhindern. Es führte aber auch dazu, dass viele Tools zur Analyse von Instagram-Konten nicht mehr funktionierten.

Spannend bleibt die Frage, woher die Daten kommen: Waren die Änderungen an der API nicht wirksam genug, haben die Angreifer neue Wege gefunden oder stammen die Daten vielleicht von ganz woanders? Aufschluss darüber kann allerdings nur Facebook selbst geben.

Behalten Sie die Kontrolle über Ihre Daten

Selbst wenn Sie lange, individuelle Passwörter für all Ihre Accounts nutzen  – Ihre Daten können trotz allem publik werden. Letzten Endes sind sie nur so sicher, wie die Menschen die sie sammeln und weiterverarbeiten, es für nötig erachten. Ihr Job ist es jedoch, die Menge an Informationen die Sie herausgeben zu kontrollieren wenn immer möglich. Dank moderner Hilfsmitteln wie einem VPN, einem Passwortmanager und Adblockern ist dies mittlerweile zum Glück ein Kinderspiel.