Articolo aggiornato alle 18,50 del 24 maggio 2019 con una precisazione di Instagram
I dati personali di milioni di influencer su Instagram sono stati individuati su un server liberamente accessibile in rete. L’archivio, ospitato da Amazon Web Services, conteneva più di 49 milioni di voci e per ciascuna erano indicati sia dati pubblici acquisiti dai profili (bio, foto del profilo, numero dei follower e status della verifica degli account) sia informazioni private di contatto quali l’indirizzo email degli utenti e il loro numero di telefono.
Segnalato dal ricercatore Anurag Sen e riportato la prima volta da Techcrunch, l’archivio era stato creato dalla società indiana Chtrbox, specializzata nel pagamento degli influencer per la pubblicazione di contenuti sponsorizzati. Come precisa Techcrunch, al momento della scoperta, l’archivio era in crescita e veniva aggiornato automaticamente.
A ciascuna voce, ha spiegato il ricercatore, era associato un punteggio, utilizzato da Chtrbox per stabilire il valore di ciascun influencer e il relativo valore per le sue sponsorizzazioni. TC ha contattato alcune delle vittime, verificando che nessuna di loro aveva avuto a che fare con la società basata a Mumbai. Gli individui contattati, hanno confermato che i dati posseduti da Chtrbox erano corretti. La società indiana - che poco dopo essere stata contattata ha messo offline l’archivio - ha rifiutato di rilasciare commenti.
Due anni fa, Instagram ammise l’esistenza di una vulnerabilità grazie alla quale degli hacker erano stati in grado di acquisire numeri di telefono e email di circa 6 milioni di utenti. Informazioni successivamente rivendute sul mercato nero in cambio di bitcoin.
Oggi Facebook, proprietaria di Instagram, conferma che sta indagando sulla vicenda e che ha chiesto a Chtrbox informazioni su come siano stati acquisiti i dati in loro possesso.
"Prendiamo seriamente in considerazione ogni accusa di uso improprio dei dati. A seguito di una prima indagine sulle affermazioni fatte in proposito, non abbiamo rilevato alcuna appropriazione di e-mail o numeri di telefono privati di utenti Instagram. Il database di Chtrbox disponeva di informazioni pubbliche accessibili da diverse fonti, tra cui anche Instagram” comunica Facebook.
Secondo quanto ricostruito dall’azienda, che contesta l’inchiesta di TechCrunch, Chtrbox non avrebbe avuto accesso ad alcun dato che non fosse già pubblico e non era in grado di accedere ai dati privati di Instagram attraverso una vulnerabilità della piattaforma, come inizialmente ipotizzato. Inoltre, il database in possesso della società indiana riguardava 350 mila utenti e non 49 milioni, come indicato inizialmente da TechCrunch, che ha corretto il suo articolo. Chtrbox ha confermato che un numero limitato di numeri di telefono e di indirizzi e-mail presenti nel database sono stati ottenuti in tre modi: attraverso gli utenti di Chtrbox in India che si iscrivono direttamente al servizio da loro offerto; raccogliendo “condivisi pubblicamente sul profilo Instagram di qualcuno (ad esempio, nelle loro biografie)”; tramite ricerche online, marketing offline e meet-ups in India. La raccolta dei dati presenti nelle biografie, fa sapere Instagram, costituisce una violazione delle regole della piattaforma, per la quale Chtrbox non sarà più autorizzata ad accedervi.