Tom's Hardware Italia
Sicurezza

Instagram, contrappasso dantesco per milioni di influencer: esposti i loro dati sensibili

‎Un enorme database contenente le informazioni di contatto di milioni di influencer, celebrità e brand attivi su Instagram è stato trovato online.

Vi ricordate la legge del contrappasso nella Divina Commedia di Dante? Era il principio che regolava le pene nell’Inferno e nel Purgatorio, per cui la punizione rappresentava il contrario della colpa. Ecco, sul Web è stato trovato nelle scorse ore un enorme database di dati sensibili appartenenti a milioni di influencer, celebrità e persino brand attivi su Instagram. Tutti personaggi cioè che dell’assoluta trasparenza e dell’esposizione di ogni momento della propria vita privata hanno fatto un business.

Suggestioni dantesche a parte‎, il database, trovato da Anurag Sen, un ricercatore di sicurezza, su Amazon Web Services, è completamente esposto e privo di password, quindi consultabile da chiunque. Al momento del ritrovamento contava ben 49 milioni di record, ma stava ancora crescendo.

Photo credit - beer5020.gmail.com/depositphotos.com

Da una prima rapida analisi a quanto pare ciascun record conteneva dati pubblici presi dagli account Instagram di influencer e personaggi famosi, come biografia, immagine del profilo, numero di follower e posizione geografica. Ma accanto a questi c’erano anche dati privati come il numero di telefono e la mail di contatto, normalmente non visibili in chiaro.

Avvisati dal ricercatore, i ragazzi di techCrunch sono stati in grado di risalire al proprietario del database, Chtrbox un’azienda di Mumbai, in India, che si occupa di retribuire gli influencer in cambio della pubblicizzazione di prodotti. Il database è stato messo offline rapidamente ma Pranay Swarup, fondatore e CEO dell’azienda, si è rifiutato di rilasciare commenti e rispondere alle domande da aprte di TechCrunch.

Il rastrellamento dei dati arriva a due anni di distanza dall’annuncio da aprte di Instagram della presenza di una vulnerabilità nelle proprie API, che aveva consentito ad alcuni hacker di ottenere indirizzi e-mail e numeri di telefono di ‎‎6 milioni di account Instagram, poi venduti in cambio di bitcoin. Alcuni mesi dopo Instagram aveva comunque eliminato l’API incriminata, proprio al fine di limitare problemi di questo tipo, evidentemente senza grande successo. Ora Facebook, che di Instagram è la proprietaria, ha annunciato indagini e verifiche.