Nuevo escándalo de privacidad en Facebook: Instagram expuso teléfonos y emails durante cuatro meses

Nuevo escándalo de privacidad en el imperio tecnológico de Facebook. En esta ocasión, el protagonista no es la propia red social que da nombre a la compañía de Mark Zuckerberg si no Instagram. El sitio web de la plataforma de fotografía habría expuesto durante cuatro meses información personal de usuarios, según ha alertado el científico de datos David Stier y recoge Europa Press. Entre estos datos, se encontrarían número de teléfono y direcciones de correo electrónico asociadas. 

El fallo de seguridad se localizaba en el código del sitio web de Instagram y se ha utilizado para recopilar bases de datos con información personal de usuarios y cuentas, según recoge el portal Cnet. El código fuente de la página de algunos perfiles incluía la datos personales de las cuentas, de manera que esta se cargaba a través de los navegadores web, aunque por el momento se desconoce su utilidad.

La información expuesta en el código de Instagram incluía números de teléfono y direcciones de correo electrónico asociadas a las cuentas, que estuvieron expuestos al menos durante cuatro meses, desde octubre de 2018. En febrero Stier reportó el problema a la red social, que lo solucionó en marzo. Entre los afectados se encuentran miles de perfiles que incluyen tanto a usuarios privados de la red social, algunos de ellos menores de edad, como cuentas de marcas y de empresas.

El código vulnerable de la red social permitía a los cibercriminales recopilar listas con información de contactos. Este fallo de seguridad estaría relacionado con el caso de la base de datos descubierta esta semana con información de 49 millones de influencers de una agencia comunicación y marketing procedente de India.

Información de 49 millones de 'influencers'

El investigador de seguridad, Anurag Sen, comunicó la existencia de esta base de datos sin proteger -no tenía contraseña- a Techcrunch, que rastrearon la información facilitada hasta llegar al origen de la misma. La base de datos pertenecía a una agencia de comunicación y marketing de Mumbai (India) llamada Chtrbox, que se dedica a contratar influencers para publicar anuncios o contenidos patrocinados para sus empresas clientes.

Instagram o el algoritmo que da mayor visibilidad a las imágenes de desnudos

Ver más

La base de datos incluía el nombre de Instagram de los influencers, las cifras de sus seguidores, sus biografías en la red social de fotografía o su ubicación geográfica de ciudad y país. También estaban registrados en el banco de datos los números de teléfono personales y direcciones de correos electrónicos. En la lista se encontraron siete cuentas de influencers de la red social de alto perfilinfluencers.

Techcrunch contactó con varios individuos destacados en la lista y dos confirmaron que los datos en cuestión eran los que habían empleado para crear su cuenta en esta plataforma. Chtrbox retiró la base de datos de la red, pero no ha detallado cómo consiguieron estos datos personales, ni por qué, ni cómo se han filtrado al público.

Todo esto ocurre dos años después de que el API, el interfaz de programación, de Instagram fuese hackeado y se retirasen los datos de contacto de 6 millones de cuentas y que luego se vendieron a cambio de Bitcoin. Meses después, la empresa californiana redujo la cantidad de datos e información a la que tenían acceso las aplicaciones no oficiales construidas sobre la plataforma.