Site icon Sophos News

Cache de données Instagram concernant 49 millions d’entrées trouvé en ligne

donnees instagram

Un chercheur se nommant anurag sen sur Twitter a découvert la base de données Instagram hébergée sur Amazon Web Services. Elle contenait plus de 49 millions d’entrées lorsqu’elle a été découverte et continuait de croître avant sa suppression.

Les données Instagram comprenaient les bios des utilisateurs, les photos de profil, le nombre de followers et leur localisation. Ces informations étaient consultables en ligne. Ce qui est plus curieux, c’est qu’elles contenaient également l’adresse électronique et le numéro de téléphone utilisés pour configurer les comptes, selon Techcrunch, qui a dévoilé cette histoire.

Les journalistes ont identifié le propriétaire de la base de données comme étant une plateforme de réseaux sociaux basée à Mumbai, Chtrbox. Elle rémunère des influenceurs sur les réseaux sociaux pour publier du contenu sponsorisé via leurs comptes. La base de données a depuis disparu d’Amazon.

La réponse de Chatrbox

Chatrbox a contesté la médiatisation de ces fuites de données, en envoyant la déclaration suivante à Sophos :

Les signalements mentionnant l’existence de fuites de données personnelles sont inexacts. Une base de données spécifique dédiée à un nombre restreint d’influenceurs a été exposée par inadvertance pendant environ 72 heures. Cette base de données n’incluait aucune donnée personnelle sensible et ne contenait que des informations disponibles dans le domaine public ou déjà relayées par les influenceurs eux-mêmes.  

Nous voudrions également affirmer qu’aucune donnée personnelle n’a été obtenue de manière non éthique par Chtrbox. Notre base de données est réservée à la recherche interne, nous n’avons jamais vendu de données personnelles ni notre base de données, et nous n’avons jamais acheté de données piratées provenant de violations de plateformes de réseaux sociaux. Notre base de données est utilisée uniquement pour aider notre équipe à entrer en contact avec les bons influenceurs afin de les aider à monétiser leur présence en ligne et d’aider les marques à créer un contenu de qualité.  

Comment un individu pourrait-il compiler une base de données Instagram d’une telle importance ?

La société ne répondra plus à aucune question. Il est donc difficile de le savoir avec certitude. Les noms d’utilisateur, les profils, et le nombre de followers sont disponibles publiquement et pourraient être regroupés par scraping de données d’écran. Les individus réalisant ce scraping de données utilisent des scripts automatisés pour visiter des sites web et copier les informations qui s’y trouvent.

Les entreprises utilisent des données capturées à des fins diverses, telles que la comparaison de prix et l’analyse émotionnelle. Une telle capture est considérée comme malveillante et de nombreux éditeurs tentent de la bloquer car cette pratique utilise leurs données propriétaires et puise également largement dans les ressources des serveurs.

Nous avons déjà vu des gens s’adonner au scraping de données Instagram auparavant. Les utilisateurs de reddit ont essayé d’archiver toute les images qu’ils pouvaient au niveau de ce site, pour s’amuser.

Mais cela peut vous causer des ennuis. Les autorités de la Nouvelle-Écosse, au Canada, ont arrêté un jeune homme de 19 ans pour avoir capturé environ 7 000 communiqués de presse sur un site web public, le qualifiant de hacker. Ils ont ensuite abandonné les charges retenues contre lui.

En général, le numéro de téléphone et l’adresse électronique utilisés pour créer les comptes ne sont pas publics, et selon TechCrunch, faisaient partie de certaines entrées. Auparavant, Facebook mettait ces données à disposition via l’API Instagram, même pour les comptes qui n’affichaient pas publiquement ce type d’information. Le réseau social a dû désactiver cette fonctionnalité en septembre 2017 après avoir constaté que des personnes téléchargeaient les informations de contact de célébrités.


Billet inspiré de Cache of 49 million Instagram records found online, sur Sophos nakedsecurity.

Exit mobile version