Mise à jour 26/05 : Nous avons ajouté des éléments à la fin de cet article suite au communiqué publié par Chtrbox et Instagram.

Une base de donnée qui contenait près de 49 millions d’informations, hébergée sur Amazon Web Services (AWS), a été exposée au grand public pendant plusieurs mois. Ce fichier est une petite mine d’or. En effet, il était possible d’avoir d’accès aux numéros de téléphone ainsi qu’aux adresses électroniques des influenceurs présents sur cette liste.

Un fichier si précis que nous pouvions même avoir une visibilité sur la valeur des contenus créés par chaque influenceur, le nombre potentiel de personnes qu’il pourrait atteindre, ainsi que le taux d’engagement moyen réalisé par l’instagrammeur, d’après TechCrunch. Une fois de plus, c’est un chercheur en sécurité, Anurag Sen, qui a découvert la faille. L’accessibilité à la liste permet de remonter directement au propriétaire du fichier. Il se trouve que c’est une agence de social media qui avait créé ce document. La société est basée à Mumbai et se nomme Chtrbox.

Un porte-parole du réseau social concerné, Instagram, a déclaré ceci : « nous examinons le fichier pour savoir si les données – y compris les adresses électroniques et les numéros de téléphone – proviennent directement d’Instagram ou d’autres sources. Nous prévoyons d’enquêter avec Chtrbox pour comprendre d’où viennent ces données et comment elles ont pu devenir accessibles au grand public. » Pourtant les réseaux sociaux sont très clairs sur la question : il est logiquement interdit de récupérer de telles données à partir de leur plateforme.

Comment la société Chtrbox aurait-elle pu récolter autant de données ? Facebook s’efforce d’améliorer sa politique concernant la vie privée de ses utilisateurs. Le réseau social ne devra pas non plus oublier de s’attaquer à ce problème sur Instagram. Ici, il ne s’agit ‘que’ de données personnelles. Des failles de sécurité peuvent être bien plus graves. Récemment, en Chine, une faille a exposé les systèmes de surveillance des villes.

Après peu après la publication de l’article de TechCrunch, un porte Instagram a précisé ceci : « Nous prenons au sérieux toute allégation de mauvaise utilisation des données. À la suite d’une enquête initiale sur les affirmations faites dans cet article, nous avons constaté qu’aucun courriel ou numéro de téléphone privé des utilisateurs d’Instagram n’avait été consulté. La base de données de Chtrbox contenait des informations publiques provenant de nombreuses sources, dont Instagram. »

De leur côté, Chtrbox, dans un communiqué, a précisé que cette basé n’était pas si vaste et qu’elle comprendrait 350 000 utilisateurs, plutôt que 49 millions. Également, la base serait restée accessible durant 72 heures seulement, et les données personnelles présentes ne concerneraient qu’une faible quantité d’utilisateur.