Uma enorme — e grosseira — falha de segurança expôs informações sigilosas de influenciadores, celebridades e marcas no Instagram. Um banco de dados hospedado pela Amazon Web Services (AWS) podia ser acessado por qualquer pessoa, por não conter nenhuma camada de proteção, nem mesmo uma senha. Até o fechamento desta nota, o material contava com mais de 49 milhões de registros, mas o número deve aumentar.
Descoberta pelo pesquisador de segurança Anurag Sen, que alertou o site Techcrunch, a base de dados trazia informações aparentemente excluídas de diversos perfis de influência e audiência da rede social, tais como suas biografias, imagens de perfil, número de seguidores, se o perfil era verificado e a sua informação de localização (cidade, país). Entretanto, parte dos arquivos também trazia e-mails e telefones de cadastro dos donos dos perfis. Em muitos desses casos, tais informações remetem ao contato direto e pessoal das pessoas afetadas.
O rastro digital da base de dados seguia até a empresa de marketing via redes sociais Chtrbox, baseada em Mumbai, na India. A empresa é especializada no pagamento de influenciadores para a publicação de posts patrocinados em suas contas, sobre os produtos de seus clientes. Cada registro continha informações de cálculo de valor monetário para cada conta, baseado em número de seguidores, capacidade de engajamento, influência e abrangência, curtidas e compartilhamentos que possuíam. Tudo isso servia de métrica para determinar quanto a empresa pagaria para uma celebridade no Instagram ou influenciador publicarem um post patrocinado.
Dentre os afetados, diversas contas são influencers de gastronomia, moda e música, além de diversas marcas de empresas com notório volume de audiência em redes sociais.
Pouco depois da notícia ir ao ar, a Chtrbox deixou a base de dados offline, desligando o acesso à ela. O co-fundador da empresa, Pranay Swarup, não respondeu aos pedidos por comentários da mídia.
Não é a primeira vez que uma falha em uma base hospedada na AWS acomete os serviços de redes sociais: em março de 2019, o Facebook (que é dono do Instagram) teve mais de meio bilhão de dados de usuários acessados da mesma forma — uma base de dados hospedada na Amazon, sem camada de proteção ou senha. Na época, duas empresas que utilizavam a API da rede social em seus serviços foram as responsáveis.
Agora, porém, não se sabe de onde veio o problema. O Instagram já teve dificuldades similares no passado, quando admitiu que a sua API trazia uma falha que permitia a hackers obterem e-mails e telefones de contas de influenciadores. Na ocasião, hackers venderam os dados em troca de bitcoins. Meses depois, a rede criou um gargalo que limitava o acesso aos dados dos usuários.
O Facebook disse que está averiguando a situação atual e deve compartilhar alguma atualização “logo”.
Fonte: Canaltech