近期，和Instagram有关的一个包含大量用户联系信息的大型数据库由于存在授权漏洞，导致任何人都可通过公网直接访问。这直接影响了数百万Instagram用户的隐私安全，其中还包含不少名人和知名品牌。

这个数据库托管在亚马逊网络服务上，没有设置密码，任何人都可直接查看数据。在撰写本文时，该数据库拥有超过4900万条记录——更重要的是，里面的数据还在以肉眼可见的速度增长。

通过对其中数据的简要分析，发现每条数据都包含从Instagram帐户中抓取的公共数据，包括他们的个人信息，个人资料图片，拥有的粉丝数量，他们的国家/地区，以及他们的私人联系信息，例如Instagram帐户所有者的电子邮件地址和电话号码。

安全研究员Anurag Sen最早发现了这个数据库，并努力寻找所有者以确保数据库安全。经过一段时间的研究，发现可将数据库追溯到位于孟买的社交媒体营销公司Chtrbox，该公司会和一些社交媒体上的名人合作为产品做宣传。而数据库中的每条记录都包含某个Instagram帐户的“价值”，这是由帐户粉丝数量，活跃度，分享频率，分类来决定的。这能帮助营销公司找到适合的广告代言人，以及确定相关报酬。

TechCrunch在这个数据库中发现了几位备受瞩目的名人，包括著名的美食博主，电影明星和其他社交媒体的影响者。

我们使用数据库中的电话号码随机联系了几个人，其中两个人回复并确认这的确是他们的号码，并且电子邮件地址也符合。但他们表示，他们并没和Chtrbox合作。

在我们联系Chtrbox后不久，数据库下线。该公司的创始人兼首席执行官Pranay Swarup没有对此事发表任何评论，也没有解释是如何获得Instagram账户的电子邮件地址和电话号码的。

早在2017年，Instagram就发生过数据泄漏事件，某个API中的安全漏洞让黑客非法获取了600万个Instagram帐户的电子邮件地址和电话号码。后来黑客用这些数据换取了高额的比特币。

拥有Instagram的Facebook表示正在调查此事。

“我们正在研究这个安全事件，详细了解所泄露的数据是来自Instagram还是其他该公司。我们还会和Chtrbox交流，以确定这些数据的来源以及它为何会暴露在公网上”。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/2656.html
来源：https://techcrunch.com/2019/05/20/instagram-influencer-celebrity-accounts-scraped/