HTCinside
A Comparitech biztonsági kutatócsoportja ma bejelentette, hogy közel 235 millió Instagram-, TikTok- és YouTube-felhasználói profilt tettek közzé az interneten egy nem biztonságos adatbázis miatt, amelyet csak súlyos adatvédelmi incidensnek nevezhetünk.
A közelmúltban számos fiókkal kapcsolatos jelentést tettek közzé a sötét webes kiberbűnözéssel foglalkozó fórumokon. A sötét webes audit azt mutatja, hogy jelenleg 15 milliárd ellopott kapcsolat van a 100 000 incidensből, és a hacker 386 millió ellopott rekordot ad ki. Nem minden adatot törtek fel, legalábbis nem a szó szokásos értelmében: némelyik, mint az valószínűleg a utahi fegyvercsere-incidens során történt, egy nem biztonságos adatbázisból került nyilvánosságra.
A nem biztonságos adatbázisok gyorsan olyan súlyos adatvédelmi problémává válnak, hogy egy éber biztonsági kutató állhat a „Miau” támadások hulláma mögött, amelyek több ezer indexét megsemmisítették. Adatbázis. És ez egy olyan bizonytalan adatbázis, amelyet a Comparitech kutatói Bob Diachenko vezetésével augusztus 1-jén fedeztek fel, és közel 235 millió Instagram-, TikTok- és YouTube-felhasználó személyes profiladatait szolgáltatta.
Az adatokat több adathalmazra osztották szét; A legnagyobb kettő, egyenként alig 100 millióval, és olyan profilrekordokat tartalmaznak, amelyek úgy tűnik, az Instagramból származnak. A harmadik legnagyobb a mintegy 42 millió TikTok-felhasználóból álló adathalmaz, amelyet közel 4 millió YouTube-felhasználói profil követ.
Olvas -Apple, Elon Musk és Jeff Bezos Twitter-fiókját feltörték
A Comparitech azt állítja, hogy az összegyűjtött minták alapján minden ötödik rekord tartalmazott telefonszámot vagy e-mail címet. Minden rekord tartalmazta a következő információk legalább egy részét, néha az összeset:
Profil név
Teljes név
Profil kép
Számla leírása
Előfizetőmegtartási statisztikák, beleértve:
Követők száma
Elköteleződési arány
Előfizetők növekedési üteme
Közönség neme
A közönség kora
Közönség helye
Kedvelések száma
Az utolsó bejegyzés időbélyege
Kor
Nem
„Az információ valószínűleg értékesebb lenne a spammerek és az adathalász kampányokat folytató számítógépes bűnözők számára” – mondja Paul Bischoff, a Comparitech főszerkesztője. „Bár az adatok nyilvánosak, az a tény, hogy jól strukturált adatbázisként teljes mértékben nyilvánosságra kerülnek, sokkal értékesebbé teszi, mint bármely profil önmagában” – teszi hozzá Bischoff. Valójában Bischoff azt mondta, hogy egy bot könnyen használhatja az adatbázist, hogy meghatározott spam megjegyzéseket tegyen közzé bármely olyan Instagram-profilban, amely megfelel olyan kritériumoknak, mint a nem, az életkor vagy az előfizetők száma.
Honnan származnak ezek az adatok? A kutatók azt sugallják, hogy a bizonyítékok, beleértve a feljegyzések nevét is, a Deep Social nevű cégre utaltak. A Deep Social-t azonban 2018-ban kitiltották a Facebookról és az Instagramról, miután visszaállították a felhasználói profiladatokat. A társaság valamikor később feloszlott.
A Facebook cég szóvivője elmondta, hogy „az emberek információinak az Instagramból való eltávolítása súlyosan megsérti irányelveinket. 2018 júniusában visszavontuk a Deep Social hozzáférését a platformunkhoz, és jogi közleményt küldtünk, amely megtiltja az új gyűjtést. adatokról. “.
Miután a kutatók megtalálták az adatbázist, és nyomokat találtak annak eredetére, „figyelmeztetést küldtünk a Deep Socialnak, feltételezve, hogy az adatok az övék” – magyarázza Bischoff. A Deep Social igazgatói ezután továbbították a nyilvánosságra hozatalt a Hongkongban bejegyzett Social Data marketing cégnek. „A Social Data az első e-mailünk után körülbelül három órával lezárta az adatbázist” – mondja Bischoff.