Um enorme banco de dados com informações de milhares de usuários do Instagram, especialmente celebridades e influenciadores, foi encontrado online e disponível para acesso por qualquer curioso. Os dados estavam hospedados no Amazon Web Services e o conteúdo tinha mais de 49 milhões de registros, que cresciam a cada hora.
Eles continham dados públicos: número de seguidores, se a conta era verificada, biografia, foto de perfil e localização (por cidade e país). Além delas, porém, eles apresentavam informações de contato privadas, como o endereço de e-mail e o número de telefone do proprietário da conta do Instagram.
A pesquisadora de segurança Anurag Sen descobriu o vazamento e alertou o TechCrunch. Em conjunto com o jornal, ela rastreou o banco de dados e descobriu que ele pertence à Mumbai Chtrbox, uma empresa de marketing de mídia social que paga os influenciadores para que eles publiquem conteúdo patrocinado em suas contas.
Cada registro no banco de dados continha o cálculo do valor da conta, com base em número de seguidores, engajamento, alcance, curtidas e compartilhamentos. Isso era usado como métrica para determinar quanto a empresa pagaria a uma celebridade ou influenciador em um anúncio na plataforma.
O TechCrunch entrou em contato com alguns dos afetados e dois deles confirmaram que utilizaram o número informado na configuração do Instagram. Segundo eles, entretanto, eles não tiveram envolvimento com o Chtrbox. Pouco depois do anúncio, o Chtrbox desativou o banco de dados. Pranay Swarup, fundador e executivo-chefe da empresa, não informou como teve acesso a endereços de e-mail e números de telefone privados na rede social.
Passado do Instagram
Há dois anos, um bug da interface de programação de aplicativos (API) permitiu que hackers tivessem acesso a informações privadas de mais de 6 milhões de usuários. Esses dados foram vendidos em troca de bitcoins.
O Facebook, que é dono do Instagram, diz que está investigando o assunto, mas nada impede que esse novo vazamento esteja relacionado com o bug anterior. “Estamos buscando entender se os dados — incluindo e-mail e números de telefone — são do Instagram ou de outras fontes”, diz um comunicado da companhia. “Também queremos entender de onde esses dados vieram e como se tornaram disponíveis publicamente.”