Instagram hat einen der offiziellen Marketingpartner seines Eigentümers Facebook, den in San Francisco ansässigen HYP3R, verboten, nachdem „eine Kombination aus Konfigurationsfehlern und laxer Überwachung“ in seinem Namen es HYP3R ermöglicht hat, riesige Datenmengen von Instagram-Benutzern zu löschen, berichtete Business Insider am Mittwoch.
HYP3R, das mehrere zehn Millionen Dollar an Finanzmitteln gesammelt hat, ist darauf angewiesen, Social-Media-Posts zu verfolgen, die an realen Orten markiert sind, und es seinen Marketingkunden dann zu ermöglichen, mit den Nutzern zu interagieren, die sie hochgeladen haben (z.B. um Beschwerden über den Service anzusprechen) oder diese Daten für gezielte Werbezwecke zu verwenden. Aber nach dem Ausbruch des Datenerfassungsskandals von Cambridge Analytica auf Facebook Anfang 2018 begann Instagram, einige Teile seiner API zu deaktivieren, einschließlich der Ortungstools.
Laut Business Insider hat HYP3R zwar die Entscheidung öffentlich unterstützt, aber auch Tools geschaffen, die dazu dienen, diese Daten weiterhin in einer Weise zu löschen, die die Vorteile der schlampigen Implementierung der API-Rollbacks durch Instagram nutzt und sicher wie Verstöße gegen die Nutzungsbedingungen aussieht.
Business Insider schrieb, dass HYP3R „den Vorteil eines Instagram-Sicherheitsverlustes“ nutzte, der es Benutzern, die nicht angemeldet waren, erlaubte, Beiträge von öffentlichen Standortseiten aus anzusehen. Mit diesem Zugang schuf das Unternehmen geofenzierte Standorte, die von Stadien bis hin zu Hotels reichen, erntete „jeden öffentlichen Beitrag, der mit diesem Standort auf Instagram versehen war“ und speicherte sie auf unbestimmte Zeit. Es wurde auch ein Tool entwickelt, um Instagram Stories, die nach 24 Stunden automatisch gelöscht werden sollen, von diesen Orten herunterzuladen und für immer zu speichern. (In beiden Fällen sind nur Benutzer betroffen, die ihre Konten auf öffentlich setzen.)
Dies ermöglichte es HYP3R, „detaillierte Profile von einer Vielzahl von Menschenbewegungen, ihren Gewohnheiten und den Unternehmen, die sie im Laufe der Zeit häufig besuchen, zu erstellen“, schrieb Business Insider, wobei Quellen der Website berichteten, dass Instagram über 90 Prozent dessen ausmachte, was HYP3R als eine Datenbank mit „Hunderten von Millionen der wertvollsten Verbraucher der Welt“ beworben hat.
Aber die Praxis schien auch einen klaren Verstoß gegen die Instagram-Dienste zu darstellen, die es verbieten, Inhalte länger als „notwendig für die Bereitstellung des Dienstes Ihrer App“ zu speichern, sowie ein Verbot der Rückentwicklung der APIs von Instagram. Facebook verbietet auch die automatisierte Datenerfassung ohne ausdrückliche schriftliche Genehmigung. Am Dienstag schickte Instagram HYP3R eine Unterlassungsanordnung und verbot sie von seiner Plattform.
Business Insider bemerkte, dass HYP3R nie verheimlicht hat, was es tat, indem es seine API so anpredete, dass sie mehr Zugriff auf Daten erlaubte als durch offizielle Instagram-Tools und in den Release Notes für die iOS-Version seiner App „Support for Instagram Stories“ aufführte.
Aber Facebook hat das Unternehmen dennoch auf eine Liste empfohlener und angeblich geprüfter Marketingpartner gesetzt. Business Insider fügte hinzu, dass es „unklar“ sei, wie Instagram es versäumt habe, das Verschrotten von Massendaten zu erkennen, was die Grenzen der Glaubwürdigkeit zu überschreiten scheint, da HYP3R die Praktiken offen durchführte und gleichzeitig den Status eines empfohlenen Marketingpartners hatte.