近期,和Instagram有关的一个包含大量用户联系信息的大型数据库由于存在授权漏洞,导致任何人都可通过公网直接访问。这直接影响了数百万Instagram用户的隐私安全,其中还包含不少名人和知名品牌。
这个数据库托管在亚马逊网络服务上,没有设置密码,任何人都可直接查看数据。在撰写本文时,该数据库拥有超过4900万条记录——更重要的是,里面的数据还在以肉眼可见的速度增长。
通过对其中数据的简要分析,发现每条数据都包含从Instagram帐户中抓取的公共数据,包括他们的个人信息,个人资料图片,拥有的粉丝数量,他们的国家/地区,以及他们的私人联系信息,例如Instagram帐户所有者的电子邮件地址和电话号码。
安全研究员Anurag Sen最早发现了这个数据库,并努力寻找所有者以确保数据库安全。经过一段时间的研究,发现可将数据库追溯到位于孟买的社交媒体营销公司Chtrbox,该公司会和一些社交媒体上的名人合作为产品做宣传。而数据库中的每条记录都包含某个Instagram帐户的“价值”,这是由帐户粉丝数量,活跃度,分享频率,分类来决定的。这能帮助营销公司找到适合的广告代言人,以及确定相关报酬。
TechCrunch在这个数据库中发现了几位备受瞩目的名人,包括著名的美食博主,电影明星和其他社交媒体的影响者。
我们使用数据库中的电话号码随机联系了几个人,其中两个人回复并确认这的确是他们的号码,并且电子邮件地址也符合。但他们表示,他们并没和Chtrbox合作。
在我们联系Chtrbox后不久,数据库下线。该公司的创始人兼首席执行官Pranay Swarup没有对此事发表任何评论,也没有解释是如何获得Instagram账户的电子邮件地址和电话号码的。
早在2017年,Instagram就发生过数据泄漏事件,某个API中的安全漏洞让黑客非法获取了600万个Instagram帐户的电子邮件地址和电话号码。后来黑客用这些数据换取了高额的比特币。
拥有Instagram的Facebook表示正在调查此事。
“我们正在研究这个安全事件,详细了解所泄露的数据是来自Instagram还是其他该公司。我们还会和Chtrbox交流,以确定这些数据的来源以及它为何会暴露在公网上”。
本文转载自白帽汇
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.