マーケティング会社、数百万人のInstagramインフルエンサーの個人データ漏洩で有罪
セキュリティ研究者のアヌラグ・セン氏は、何百万ものインフルエンサー、有名人、ブランド アカウントの連絡先情報が含まれているInstagram ユーザーのデータベースをオンラインで発見しました。このデータベースはアマゾン ウェブ サービスサーバーに保存されており、いかなる保護も施されていないため、URL を知っている人は誰でもアクセスできました。さらに、データベースは常に更新されました。
メインアカウントから取得されたデータには、プロフィール、プロフィール写真、フォロワー数、アカウントが認証されているかどうか、所在地 (都市と国) 、およびアカウントに関連付けられた電子メールアドレスや電話番号などの個人の連絡先情報が含まれていました。
このデータベースは、インドのムンバイに拠点を置くソーシャル メディア マーケティング会社 Chtrbox から提供されているようです。この会社は、Instagram アカウントへのスポンサー付き投稿と引き換えに、インフルエンサーに支払いを行っています。データベースには、フォロワー数、リーチ、いいね、影響力などのデータに基づいて、各アカウントにどれだけの価値があると信じているかの推定値も含まれていました。その見積もりを通じて、広告を掲載するためにインフルエンサーに支払わなければならない金額を計算しました。
Facebookは同社に連絡し、どのようにしてデータを入手できたのかを確認した
この事件を明らかにしたTechCrunchはデータベースにアクセスし、フードブロガー、有名人、ブランド、その他のInstagramインフルエンサーからのデータを発見した。さらに、データベース内のランダムなユーザー数名に連絡して、それらが実際の電話番号と電子メール アドレスであるかどうかを確認しました。不思議なことに、どのケースでも、質問者はリストを作成した企業と何の関係もありませんでした。
確認後、Chtrbox に連絡したところ、直ちにデータベースが削除されました。同社はインスタグラムユーザーからこの情報をどのように入手したのかについては回答していないが、これは非公開である。最近、Instagram 開発 API のバグにより、600 万件のInstagram アカウントから電子メールや電話番号などのデータが盗まれる可能性がありました。この脆弱性を悪用したハッカーは、後にビットコインと引き換えにデータを販売しました。
Facebookは、データがInstagramのバグを通じて取得されたのか、それともサードパーティツールによるアクセスによって作成されたデータベースなのかを確認するために、この事件を調査していると述べた。また、 Chtrboxに直接連絡して、そのすべてのデータをどこから入手したかを教えてもらえるかどうかを確認しました。
更新: Instagram はこの件についてコメントし、 Chtrbox データベースには 4,900 万人のユーザーではなく350,000 人のユーザーがいると述べています。電話番号やメールアドレスなど、流出したユーザーの個人情報はInstagram API を介したものではなく、脆弱性は見つかりませんでした。
Chtrboxは、このデータを、同社のサービスにログインする際に提供した人々を通じて、プロフィールや写真でインスタグラムのプロフィール上で公に共有することによって、あるいは他のソーシャルネットワーク上でそのデータを他の場所で公開したかどうかをオンラインで調査することによって入手したと述べている。
この訴訟の結果、インスタグラムはプライバシーポリシーに違反したとして、チャートボックスのプラットフォームへのアクセスを取り消した。