TechCrunch rapporte la trouvaille du chercheur en sécurité Anurag Sen. Il a découvert une base de données de plus de 49 millions d'utilisateurs d'Instagram. Hébergée sur Amazon Web Services, elle était accessible sans protection.
Aucun mot de passe n'était ainsi nécessaire pour jeter un œil sur des données publiques mais aussi privées d'utilisateurs, dont des influenceurs, célébrités et comptes de marques. Parmi les données privées, l'adresse email et le numéro de téléphone du détenteur d'un compte.
TechCrunch a remonté la base de données jusqu'à Chtrbox. Basée à Bombay en Inde, elle se présente comme une société de marketing pour les influenceurs sur les réseaux sociaux avec une mise en relation avec des marques.
La base de données contenait une mesure sur la valeur d'un compte afin de déterminer le montant à payer pour la publication de contenus sponsorisés.
Exclusive: Millions of Instagram celebrities and influencers had their private contact information scraped by a social marketing company. Worse, the data was inadvertently exposed on a server without a password.https://t.co/DpLtN7cpFr
— Zack Whittaker (@zackwhittaker) 20 mai 2019
TechCrunch a pu confirmer l'authenticité de l'adresse email et numéro de téléphone de deux comptes Instagram listés dans la base de données qui a été retirée depuis. Les propriétaires de ces comptes ont affirmé ne pas être en relation avec Chtrbox.
Propriétaire d'Instagram, Facebook a déclaré examiner le problème pour " comprendre si les données décrites - incluant les adresses email et numéros de téléphone - provenaient d'Instagram ou d'autres sources. " Des interrogations qui concernent aussi Chtrbox.
