Der Social-Media-Dienst Social Captain bietet Nutzern die Möglichkeit, ihre Follower-Zahl zu steigern. Das Start-up soll nach Informationen von TechCrunch jedoch die Passwörter von verknüpften Instagram-Konten unverschlüsselt im Netz gespeichert haben. Eine Sicherheitslücke ermöglichte dabei den Zugriff auf das Profil der Social Captain-Nutzer: Innerhalb des Quelltexts waren die Instagram-Nutzernamen und -Passwörter für verknüpfte Konten sichtbar. 

Ein Fehler im Website-Code erlaubte darüber hinaus den Zugriff auf die Profile der Social Captain-Benutzer: Die Eingabe der individuellen Konto-ID eines Nutzers in der Webadresse verschaffte Zugang zu den entsprechenden Social Captain-Konten und den dazugehörigen Instagram-Anmeldeinformationen.

Das Datenleck war von einem nicht näher genannten Sicherheitsforscher entdeckt worden. TechCrunch liegen demnach Informationen über 10.000 betroffene Konten vor. Bei 4.700 Konten wurden die kompletten Instagram-Anmeldedaten enthüllt, während beim Grossteil der Konten nur Name und E-Mail-Adresse der Nutzer offengelegt wurden. Ebenfalls unter den freigelegten Daten: Informationen über kostenlose Testkonten und Bezahlkonten, bei denen die Rechnungsadresse frei zugänglich war. Laut TechCrunch waren jedoch nur 70 Premium-Kunden von dem Datenleck betroffen.

Nach Angaben von Social Captain sei die Sicherheitslücke bereits gestopft. Der direkte Zugriff auf die Profile anderer Nutzer sei nicht mehr möglich. Eine erste Analyse zeige, dass das Problem in den letzten Wochen während der Integration in einen E-Mail-Dienst eines Drittanbieters aufgetreten sei, so Anthony Rogers, CEO von Social Captain. "Sobald wir die interne Untersuchung abgeschlossen haben, werden wir die Benutzer, die im Falle eines Verstosses betroffen sein könnten, benachrichtigen und sie auffordern, die zugehörigen Kombinationen aus Benutzername und Passwort zu aktualisieren."

Auch Instagram widmet sich einer Untersuchung, da Social Captain gegen seine Nutzungsbedingungen verstossen habe, indem Anmeldeinformationen nicht ordnungsgemäss gespeichert wurden. "Wir untersuchen den Fall und werden entsprechende Massnahmen ergreifen", zitiert TechCrunch Instagram. Nutzer des Dienstes von Social Captain wurden aufgefordert, ihre Instagram-Zugangsdaten dringend zu aktualisieren.

Auch bei Instagrams Mutterunternehmen Facebook gab es im vergangenen Jahr eine Sicherheitslücke, bei der Nutzerpasswörter intern im Klartext gespeichert worden waren.