Das soziale Netzwerk Instagram hat der US-Werbeagentur Hyp3r den Zugriff auf seine Plattform gesperrt. Hyp3r wird schwerwiegender Missbrauch von Nutzerdaten vorgeworfen. Man habe den Praktiken von Hyp3r nicht zugestimmt, erklärte Instagram. Zudem habe die Marketingfirma "gegen unsere Regeln verstoßen", fügte das zum Facebook-Konzern gehörende Unternehmen hinzu.

Das Nachrichtenportal Business Insider hatte zuvor berichtet, dass Hyp3r öffentlich gepostete Daten von Millionen Instagram-Nutzerinnen und -Nutzern abgegriffen und gespeichert habe. Damit sei es dem in San Francisco ansässigen Start-up möglich gewesen, für Werbetreibende detaillierte Beschreibungen der Nutzer anzufertigen, die bestimmte Orte wie Flughäfen, Hotels, Kasinos, Clubs oder auch Sportveranstaltungen besuchten.

Wer Instagram nutzt, kann entscheiden, ob seine Beiträge bei der Fotoplattform für alle oder nur für bestimmte User sichtbar sind. Die öffentlich zugänglichen Bilder, Videos und Informationen können dann nicht nur über die App, sondern auch über die Web-Version von Instagram abgerufen werden. Die Firma Hyp3r entwickelte Methoden, diese Dateien automatisiert einzusammeln und zu speichern. Dazu hätten auch Beiträge aus der sogenannten Stories-Funktion gehört, die nur einen Tag sichtbar sind, berichtete Business Insider.

Auch Ortsdaten wurden offenbar ausgelesen

Besonders interessant für Hyp3r waren laut dem Bericht von Business Insider Instagram-Beiträge, die den Aufenthaltsort der Nutzer enthielten. Auch die Ortsdaten seien ausgelesen und gespeichert worden. Ein Service von Hyp3r für Kunden wie Hotels ist es, gesammelte Instagram-Beiträge von deren Standorten zu präsentieren. So könne man zum Beispiel einen Hotelgast mit einem Geschenk überraschen, wenn man via Instagram mitbekomme, dass er Geburtstag hat, nennt die Firma auf ihrer Website ein Beispiel. Zugleich können die Hyp3r-Kunden auf Basis der Daten aber auch mit ihren Werbeanzeigen gezielt Nutzer ansprechen, die sich bei der Konkurrenz aufhalten. Hyp3r baute eine Datenbank mit Tausenden Standorten von Hotels, Fitnessclubs oder Einkaufsläden auf. 

Aus Sicht von Instagram verletzt die automatisierte Datensammlung die Nutzungsbedingungen. Hyp3r erklärte Business Insider dagegen, man sehe darin keinen Regelverstoß. Der Fall ist zugleich ein Beispiel dafür, wie auf Basis öffentlich verfügbarer Informationen ausführliche Nutzerprofile aufgebaut und von der Werbeindustrie genutzt werden können. Dem Bericht zufolge nutzt Hyp3r auch automatische Bilderkennung bei den eingesammelten Fotos, um zum Beispiel auszuwerten, welche Gegenstände auf den Bildern zu sehen sind.

Instagram hatte den Zugang zu Ortsdaten über die offizielle Schnittstelle für Entwickler bereits im vergangenen Jahr gekappt. Aber Hyp3r habe einen Weg gefunden, trotzdem an die Informationen zu kommen, schrieb Business Insider. Unklar blieb, wieso Hyp3rs großflächige Datensammlung nicht von den Instagram-Systemen entdeckt worden war. Der Datenabgriff sei zugleich durch einen Fehler von Instagram begünstigt worden: Es sei zu einfach gewesen, ein Javascript-Verfahren auszulösen, mit dem Daten gebündelt abgerufen werden können. Business Insider beschrieb die Methode auf Ersuchen von Instagram nicht ausführlich, damit der Dienst Zeit hat, den Zugangsweg zu schließen.