Instagram: Werbefirma griff massenhaft Daten ab

Eine US-Werbefirma konnte massenhaft öffentliche Daten von Instagram abgreifen, um Werbeprofile zu bilden. Offenbar waren die Kontrollen von Instagram zu lax.

In Pocket speichern vorlesen Druckansicht 51 Kommentare lesen
Instagram

(Bild: Ink Drop/Shutterstock.com)

Lesezeit: 4 Min.

Ein Startup aus San Francisco hat heimlich massenhaft Daten von Instagram-Nutzern gesammelt. Konkret wurden Millionen "Stories" und Standortdaten gespeichert. Die Informationen hat die Marketing-Firma Hyp3r offenbar genutzt, um detaillierte Werbeprofile von Nutzern zu erstellen – inklusive Bewegungsmustern und möglichen Interessen. Der Vorfall ruft Erinnerungen an den Skandal um Cambridge Analytica wach: Im März 2018 kam ans Licht, dass die Analysefirma Daten von 87 Millionen Facebook-Nutzern abgegriffen hatte. Instagram gehört seit 2012 zu Facebook.

Hyp3r bezeichnet sich als Werbefirma, die sich auf standortbezogene Marketingmaßnahmen spezialisiert hat. Die von Hyp3r auf Instagram gesammelten Daten waren öffentlich zugänglich, aber nicht für die Ewigkeit gedacht. Instagrammer können ihre Erlebnisse als "Stories" veröffentlichen, die nach 24 Stunden automatisch verschwinden. In den Stories lassen sich Videos, Fotos, Musik und Texte posten. Oftmals verlinken die Nutzer dabei ihren Standort, wenn sie zum Beispiel ihr Essen ablichten, es als Story posten und das Restaurant markieren.

Hyp3r habe gezielt den Aufenthaltsort abgegriffen, berichtet Business Insider in einem ausführlichen Artikel. Automatisiert lassen sich die Informationen eigentlich nicht erfassen. Das Startup hat diese Sperre aber wohl umgangen und sogar ein eigenes Tool entwickelt, um Instagram-Stories mit Standortdaten zu erfassen. Bis Anfang 2018 hat Hyp3r dafür einfach das API von Instagram genutzt, ehe der Zugang nach dem Cambridge-Analytica-Skandal eingeschränkt wurde.

Mit den gesammelten Standortdaten kann Hyp3r gezielt Nutzer ansprechen, die beispielsweise ein bestimmtes Hotel besucht und es in einer Instagram-Story verlinkt haben. Sie bekommen dann etwa Werbung von einer konkurrierenden Hotelkette zu sehen. Mit seiner Datensammelei habe Hyp3r jedoch gegen die Nutzungsregeln von Instagram verstoßen, sagt das Unternehmen und verschickte deshalb eine Abmahnung ("Cease and desist") an das Startup. Zuvor hatte Business Insider Instagram mit seinen Recherchen konfrontierte. Facebook führte Hyp3r in einem Verzeichnis mit vertrauenswürdigen Werbefirmen und empfahl die Firma damit an Werbende.

Hyp3r, hyp3r! Das Startup aus San Francisco sammelte massenhaft Instagram-Daten.

"Wir haben [Hyp3r] von unserer Plattform ausgeschlossen", erklärte ein Instagram-Sprecher. Jegliche API-Zugriffsrechte wurden dem Startup entzogen. "Außerdem wir eine Produktänderung vorgenommen, die verhindern soll, dass andere Unternehmen öffentliche Standortdaten auf diese Weise auslesen können." Hyp3r hingegen argumentiert, dass der Zugriff auf öffentliche Daten über Instagram legitim gewesen sei. Die Marketing-Firma geht davon aus, die Probleme mit Instagram in Kürze zu lösen. Hyp3r-Chef Carlos Garcia betonte, dass man sich lediglich öffentlich zugängliche Informationen angeschaut habe. (Auf "privat" gestellte "Insta-Stories" sind also nicht betroffen.) Ein Sprecher von Instagram erklärte jedoch, dass die Praktiken von Hyp3r gegen die Regeln des Unternehmens für die automatisierte Datenerfassung verstießen.

In Europa gibt es mit großer Wahrscheinlichkeit keine rechtliche Grundlage, die eine solche Datenspeicherung und Verarbeitung erlaubt. Die Nutzer werden keine Einwilligung in eine derartige Verarbeitung ihrer Daten durch ein Drittunternehmen erteilt haben und eine sonstige Rechtsgrundlage hierfür gibt es auch nicht.

Ein Jahr nach dem Datenskandal um Cambridge Analytica wird abermals deutlich, dass Facebook offenbar ein Problem hat, die Daten seiner Nutzer komplett abzusichern. Dieses Problem erstreckt sich nun auch auf die Töchter-Apps des sozialen Netzwerks. Instagram wird zum großen Teil als separate Firma betrieben und hatte mit dem Cambridge-Analytica-Skandal nichts zu tun. Die Instagram-Profile sind wertvolle Datenschätze, schließlich geben viele Nutzer auf der Plattform viel von sich preis. Sie posten fleißig Inhalte aus ihrem Alltag und versehen sie mit wertvollen Metadaten, an denen auch Hyp3r interessiert war.

Die Menge an Daten, die das Marketing-Startup von Instagram über Jahre abgreifen konnte, ist derzeit nicht bekannt. Business Insider schreibt, dass Hyp3r damit geworben habe, "einzigartige Datensätze von Hunderten Millionen" Konsumenten zu besitzen. Mehr als 90 Prozent der Rohdaten würden von Instagram stammen. Eine Quelle verriet, dass Hyp3r eine Million Instagram-Einträge pro Monat aufnehme. Ein ehemaliger Mitarbeiter wundert sich, dass Instagram die Zugriffe überhaupt ermöglichte und die Standortdaten nicht besser geschützt hat. Hyp3r hat nie einen Hehl aus seinem Tun gemacht, schreibt Business Insider. Nur waren die regelmäßigen Kontrollen durch Instagram offenbar zu lax.

[UPDATE, 08.08.2019 17:05 Uhr] (dbe)