Brecha de datos en Instagram; 50 millones de registros expuestos en base de datos

Especialistas en seguridad de aplicaciones web reportaron el hallazgo de una base de datos masiva expuesta en línea que contenía datos de contacto de millones de “influencers”, celebridades y cuentas comerciales de Instagram.

Los expertos mencionan que la base de datos estaba alojada en Amazon Web Services (AWS) y estaba expuesta sin ninguna medida de autenticación, por lo que cualquier usuario podría acceder a la información expuesta. Al ser detectada, la base de datos contaba con casi 50 millones de registros, aunque los expertos reportan que el volumen del archivo crecía constantemente.

Después de una revisión preliminar, se informó que la base de datos contenía información de los influencers de esta red social, como:

  • Biografía
  • Foto de perfil
  • Datos de la cuenta (verificación, número de seguidores)
  • Dirección email
  • Número telefónico

Los expertos en seguridad de aplicaciones web intentaron encontrar a los propietarios de la base de datos para que ésta fuera asegurada. La búsqueda llegó hasta la compañía de marketing de redes sociales Chtrbox, con sede en Mumbai. La firma calcula el valor de una cuenta según algunas variables (número de seguidores, alcance, ‘likes’, interacciones totales, etc.) para determinar cuánto debía pagar a cada cuenta por publicar contenido patrocinado.

Los especialistas en seguridad de aplicaciones web tomaron algunos datos al azar para ponerse en contacto con las personas afectadas; los poseedores de las cuentas de Instagram confirmaron la veracidad de los datos expuestos aunque negaron tener relación alguna con la firma Chtrbox.

Después de que el incidente fue divulgado la compañía eliminó la base de datos de AWS, aunque ningún miembro de la compañía realizó una sola declaración al respecto.  Unos días después, a través de su cuenta de Twitter, la firma de marketing mencionó que el número de cuentas expuestas era menor a 350 mil y que la base de datos se mantuvo sin asegurar sólo por tres días; no obstante, los expertos pudieron confirmar que la base de datos fue detectada en Shodan desde el 14 de mayo.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que Facebook, compañía propietaria de Instagram, investigará el incidente para saber si Chtrbox obtuvo los datos directamente de Instagram o si recurrió a otras fuentes.

(Visited 223,1 times)