235 millioner konti af brugere af Instagram, TikTok og YouTube er blevet udsat

Den 1. august, Comparitech sikkerhedsindstillinger forskere fundet en database, der holdt tonsvis af personlige oplysninger og var tilgængelig fra overalt i verden uden nogen form for godkendelse. Under ledelse af Bob Diachenko analyserede teamet indholdet af serveren og konstaterede, at det havde godt 238 millioner poster. Af dem tilhørte 192 millioner Instagram-brugere, omkring 42 millioner var hentet fra den populære video-delingsplatform TikTok, og knap 4 millioner indeholdt oplysninger relateret til YouTube-konti.

Registreringerne var ikke ensartede i de oplysninger, de udsatte. Kun ca. en femtedel af dem indeholdt for eksempel enten et telefonnummer eller en e-mail-adresse. Ingen adgangskoder blev eksponeret, skønt der var meget anden information til rådighed. Det omfattede profilnavne, rigtige navne, profilbilleder, brugernes alder, køn samt en lang række statistikker om deres engagement med sociale medier og andre mennesker. Efter at have lært, hvilken slags data der blev udsat for, var Diachenko næste job at finde ud af, hvordan de endte i utæt databaser.

Instagram, TikTok og YouTube blev ikke hacket

Brugere af sociale medier blandt jer vil være lettede over at få at vide, at lækagen ikke var et resultat af koordinerede cyberangreb mod Instagram, TikTok og YouTube. Faktisk blev de lækkede data ikke stjålet i ordets fulde forstand. Det var blevet gjort offentligt tilgængeligt af kontoejere selv, og det blev skrabet og organiseret af et automatiseret script.

Oprindeligt var Diachenko temmelig sikker på, at databaserne tilhørte Deep Social, et nu defunkt analysefirma, der plejede at arbejde inden for influencer-marketing. For et par år siden pralede Deep Social om en stor kundebase og samarbejde med større virksomheder. I sommeren 2018 fortalte Facebook imidlertid Deep Social, at det ikke længere var tilladt at bruge de sociale mediers API på grund af en krænkelse af servicevilkårene. Kort derefter foldet analyseselskabet sammen.

Ikke desto mindre formåede Diachenko at kontakte en person, der var involveret i Deep Social og afslørede lækagen. Han fik at vide, at hans e-mail var blevet videresendt til en anden influencer-marketingfirma ved navn Social Data. Social Data tog serveren ned få timer efter opdagelsen, og en talsperson kom i kontakt med Comparitech for at undskylde for lækagen og påpegede, at Social Data ikke har noget til fælles med Deep Social. Tilstedeværelsen af "deepsocial" i navnene på Social Data's databaser og lighederne mellem siderne Om Us på de to selskabers websteder forblev uforklarlig.

Hvorfor var lækagen dårlig?

Du kan måske tro, at lækagen ikke er så dårlig. Når alt kommer til alt, da Social Data's talsperson kun var for glad for at understrege, kan de oplysninger, der er indsamlet i databasen, ses på profilsiderne på de 238 millioner berørte konti. Det er offentligt tilgængeligt, og i det mindste i teorien ved ejere det meget godt. Alle sociale data, der er gjort, er at skrabe dem og samle dem i en velorganiseret database. Dette, husk dig, er stort set den samme ting, som Deep Social gjorde, indtil Facebook gav det en klap på håndleddet.

Skrabning af offentligt tilgængelige data er i strid med de fleste sociale netværks brugsvilkår, og der er en meget god grund til dette. Virksomheder som Social Data og Deep Social indsamler alle disse oplysninger, og de får senere fortjeneste ved at sælge dem til kunder, der organiserer målrettede annoncekampagner. Det kan allerede diskuteres, om hele denne forretning er i overensstemmelse med love og regler som f.eks. EU's GDPR, og der er også andre problemer.

Cyberkriminelle, der ønsker at starte målrettede phishing-kampagner mod brugere af sociale medier, kan drage fordel af en velorganiseret database, der er udstyret med brugernes data. Dataskrapning er den proces, der skaber disse enorme datasæt, og det er derfor, sociale medier-giganter som Facebook ikke tolererer det. Hvad der er endnu værre, som sociale data påvist nogle gange, at disse databaser ikke gemmes sikkert, og det gør skurkenes liv meget lettere.

Desværre er denne hændelse en meget god illustration af, hvor lidt kontrol brugerne har over, hvad der sker med deres data, når de først er på deres sociale mediaprofil. Derfor skal du sandsynligvis være mere forsigtig med de personlige detaljer, du deler på disse platforme. Hvis du bruger Instagram, TikTok eller YouTube, skal du også huske, at det endnu ikke er klart, om nogen har adgang til de lækkede data, før de blev fjernet. Du ønsker måske at være på udkig efter mistænkelige e-mails eller meddelelser.