Ein Datenleck bei einem Server der Analysefirma IGBlade exponiert Millionen von Usern der Plattformen Instagram und TikTok.
Kürzlich fanden Sicherheitsforscher von „Safety Detectives“ ein Datenleck bei der Firma IGBlade. Das Analytics-Unternehmen gibt registrierten Usern, die auf Instagram und/oder TikTok aktiv sind, detaillierte Rückmeldungen wie Demografie und Accountzusammenfassungen. Das Datenleck beinhaltet umfangreiche Daten der User.
IGBlade ist eine rumänische Analytics-Firma, welche ihre Daten über sogenanntes Data Scraping bezieht. Diese werden dann für umfangreiche Analyserückmeldungen genutzt, welche wertvoll für gewerblich arbeitende User sind. Ein ungesicherter ElasticSearch-Server von IGBlade wurde nun von den Sicherheitsforschern von „Safety Detectives“ gefunden. Auf diesem fanden sie Daten von Millionen Instagram– und TikTok-Usern.
Umfangreiche personenbezogene Daten geleakt
Der öffentlich zugängliche ElasticSearch-Server war weder verschlüsselt noch passwortgeschützt. In der Datenbank waren etwas mehr als 2,6 Millionen Einträge verzeichnet, die zusammen ungefähr 3,6 GB groß waren. Aufgrund der Zusammensetzung der Datensätze schlossen die Sicherheitsforscher, dass die Daten auch über Data Scraping auf TikTok und Instagram bezogen wurden. Abgeschaltet war der Server jedoch keineswegs. Noch während der Untersuchung des Teams, welches von Anurag Sen geleitet wird, fanden Updates in der Datenbank statt. Auf dem kanadischen Server fanden sich folgende Daten:
- vollständiger Name
- Username (beispielsweise von TikTok oder Instagram)
- Profilbild
- „Über mich“-Information
- E-Mail-Adresse
- Telefonnummer (nur wenn diese öffentlich sichtbar war)
- Standortdaten (Wohnort o. ä.)
- Anzahl der geposteten Mediendateien
- Follower-/Following-Zahlen
- Metriken für die Engagements
Unter den gespeicherten Benutzerdaten fanden sich auch die von Promis wie Alicia Keys, Ariana Grande, Kim Kardashian, Kylie Jenner und Loren Gray. Der ElasticSearch-Server von IGBlade hatte keinerlei Schutzmechanismen und war seit mindestens 31.05.2021 öffentlich erreichbar. Das Sicherheitsteam von Safety Detectives informierte die rumänische Firma am 05.07.2021, nachdem sie den Server am 20.06.2021 gefunden hatten. Die Antwort von IGBlade war rasch und so war der Server bereits am selben Tag gesichert.
IGBlades Vorgehensweise könnte Konsequenzen für sie bedeuten
Auch wenn IGBlade an sich keine Straftat mit dem Data Scraping von öffentlichen Datenquellen begangen hat, könnte deren Verhalten durchaus Konsequenzen nach sich ziehen. Denn Data Scrapting ist auf TikTok und Instagram laut deren AGBs nicht erlaubt. Möglicherweise könnte dies für IGBlade also bedeuten, dass sie von der Benutzung beider Dienste ausgeschlossen werden. Das wäre insofern problematisch, als IGBlades Geschäftsmodell genau darauf aufbaut. Ohne Daten keine Analytics für zahlende Benutzer.
Weitreichendere Konsequenzen für die exponierten Benutzer
Jedoch könnten die betroffenen Benutzer von TikTok und Instagram schwerwiegendere Konsequenzen befürchten. Die Daten in IGBlades Datenbank waren zwar öffentlich zugänglich, aber nicht jeder ist sich dieses Problems bewusst. Persönliche Daten, die öffentlich zugänglich gespeichert sind, können zu einer Vielzahl von Problemen führen. Beispielsweise können Phisher die umfangreiche Menge an E-Mails für Massen-Social-Engineering nutzen. Denkbar wären auch Telefon-Scams, trojanische Pferde via E-Mail oder Identitätsdiebstähle. Problematisch sind auch Nachahmer, die mit den von IGBlade gesammelten Informationen Profile nachahmen könnten und darüber Desinformation oder Krypto-Scams verbreiten.
Tarnkappe.info
