Έχουν εκτεθεί 235 εκατομμύρια λογαριασμοί Instagram, TikTok και χρηστών του YouTube

Την 1η Αυγούστου, οι ερευνητές ασφαλείας της Comparitech βρήκαν μια βάση δεδομένων που περιέχει τόνους προσωπικών πληροφοριών και ήταν προσβάσιμη από οπουδήποτε στον κόσμο χωρίς καμία μορφή ελέγχου ταυτότητας. Με επικεφαλής τον Bob Diachenko, η ομάδα ανέλυσε το περιεχόμενο του διακομιστή και διαπίστωσε ότι είχε πάνω από 238 εκατομμύρια δίσκους. Από αυτούς, 192 εκατομμύρια ανήκαν σε χρήστες Instagram, περίπου 42 εκατομμύρια είχαν ληφθεί από τη δημοφιλή πλατφόρμα κοινής χρήσης βίντεο TikTok, και μόλις κάτω από 4 εκατομμύρια περιείχαν πληροφορίες σχετικά με λογαριασμούς YouTube.

Τα αρχεία δεν ήταν ομοιόμορφα στις πληροφορίες που εξέθεσαν. Μόνο περίπου το ένα πέμπτο από αυτά, για παράδειγμα, περιείχε είτε έναν αριθμό τηλεφώνου είτε μια διεύθυνση email. Δεν εκτέθηκαν κωδικοί πρόσβασης, αν και απομένουν πολλές άλλες πληροφορίες για τη λήψη. Περιλάμβανε ονόματα προφίλ, πραγματικά ονόματα, φωτογραφίες προφίλ, ηλικία, φύλο των χρηστών, καθώς και ένα ευρύ φάσμα στατιστικών στοιχείων σχετικά με τη δέσμευσή τους με τα κοινωνικά μέσα και άλλα άτομα. Έχοντας μάθει τι είδους δεδομένα εκτέθηκαν, η επόμενη δουλειά του Diachenko ήταν να καταλάβει πώς κατέληξε στις διαρροές βάσεις δεδομένων.

Το Instagram, το TikTok και το YouTube δεν παραβιάστηκαν

Οι χρήστες των μέσων κοινωνικής δικτύωσης θα σας ανακουφίσουν να μάθουν ότι η διαρροή δεν ήταν αποτέλεσμα συντονισμένων κυβερνοεπιθέσεων εναντίον Instagram, TikTok και YouTube. Στην πραγματικότητα, τα δεδομένα που διέρρευσαν δεν είχαν κλαπεί με την πλήρη έννοια της λέξης. Είχε διατεθεί στο κοινό από τους ίδιους τους κατόχους λογαριασμών και διαγράφηκε και οργανώθηκε από ένα αυτοματοποιημένο σενάριο.

Αρχικά, ο Diachenko ήταν πολύ σίγουρος ότι οι βάσεις δεδομένων ανήκαν στην Deep Social, μια πλέον ανενεργή εταιρεία ανάλυσης που εργαζόταν στον τομέα του μάρκετινγκ επιρροής. Πριν από μερικά χρόνια, η Deep Social καυχιέται για μια μεγάλη πελατειακή βάση και συνεργασίες με μεγάλες εταιρείες. Το καλοκαίρι του 2018, ωστόσο, το Facebook είπε στο Deep Social ότι δεν του επιτρέπεται πλέον να χρησιμοποιεί το API των κοινωνικών μέσων λόγω παραβίασης των όρων υπηρεσίας. Λίγο αργότερα, η εταιρεία ανάλυσης διπλώθηκε.

Παρ 'όλα αυτά, ο Diachenko κατάφερε να επικοινωνήσει με ένα άτομο που σχετίζεται με το Deep Social και αποκάλυψε τη διαρροή. Του είπαν ότι το email του είχε προωθηθεί σε άλλη εταιρεία μάρκετινγκ με την επωνυμία Social Data. Τα Κοινωνικά Δεδομένα έβγαλαν τον διακομιστή λίγες ώρες μετά την ανακάλυψή του και ένας εκπρόσωπος ήρθε σε επαφή με την Comparitech για να ζητήσει συγγνώμη για τη διαρροή και επεσήμανε ότι τα Κοινωνικά Δεδομένα δεν έχουν τίποτα κοινό με το Deep Social. Η παρουσία του "deepsocial" στα ονόματα των βάσεων δεδομένων των Κοινωνικών Δεδομένων και οι ομοιότητες μεταξύ των σελίδων Σχετικά με εμάς στους ιστότοπους των δύο εταιρειών παρέμειναν ανεξήγητες.

Γιατί η διαρροή ήταν κακή;

Ίσως πιστεύετε ότι η διαρροή δεν είναι τόσο κακή. Σε τελική ανάλυση, όπως ο εκπρόσωπος των Social Data ήταν πολύ χαρούμενος να τονίσει, οι πληροφορίες που συλλέγονται στη βάση δεδομένων μπορούν να προβληθούν στις σελίδες προφίλ των 238 εκατομμυρίων λογαριασμών που επηρεάστηκαν. Είναι διαθέσιμο στο κοινό και, τουλάχιστον θεωρητικά, οι ιδιοκτήτες το γνωρίζουν πολύ καλά. Το μόνο που έχει κάνει τα Κοινωνικά δεδομένα είναι να τα ξύνει και να τα συλλέξει σε μια καλά οργανωμένη βάση δεδομένων. Αυτό, κατά νου, είναι σχεδόν το ίδιο πράγμα που έκανε το Deep Social μέχρι το Facebook να του δώσει ένα χαστούκι στον καρπό.

Η απόσυρση δεδομένων που είναι προσβάσιμα στο κοινό είναι αντίθετη με τους όρους χρήσης των περισσότερων κοινωνικών δικτύων και υπάρχει πολύ καλός λόγος για αυτό. Εταιρείες όπως το Social Data και το Deep Social συλλέγουν όλες αυτές τις πληροφορίες και αργότερα επωφελούνται από την πώληση σε πελάτες που οργανώνουν στοχευμένες διαφημιστικές καμπάνιες. Είναι ήδη συζητήσιμο εάν ολόκληρη η επιχείρηση είναι σύμφωνη με νόμους και κανονισμούς, όπως το GDPR της ΕΕ, για παράδειγμα, και υπάρχουν και άλλα προβλήματα.

Οι εγκληματίες στον κυβερνοχώρο που θέλουν να ξεκινήσουν στοχευμένες καμπάνιες ηλεκτρονικού ψαρέματος (phishing) εναντίον χρηστών κοινωνικών μέσων μπορούν να επωφεληθούν πάρα πολύ από μια καλά οργανωμένη βάση δεδομένων που είναι εφοδιασμένη με τα δεδομένα των χρηστών. Η συλλογή δεδομένων είναι η διαδικασία που δημιουργεί αυτά τα τεράστια σύνολα δεδομένων και γι 'αυτό οι γίγαντες των κοινωνικών μέσων όπως το Facebook δεν το ανέχονται. Αυτό που είναι ακόμη χειρότερο, όπως έδειξαν τα Κοινωνικά Δεδομένα, μερικές φορές, αυτές οι βάσεις δεδομένων δεν αποθηκεύονται με ασφάλεια και αυτό καθιστά τη ζωή των απατεώνων πολύ πιο εύκολη.

Δυστυχώς, αυτό το περιστατικό είναι μια πολύ καλή εικόνα του πόσο λίγοι έχουν οι χρήστες ελέγχου για το τι συμβαίνει με τα δεδομένα τους όταν είναι στο προφίλ κοινωνικών μέσων. Γι 'αυτό, μάλλον θα πρέπει να είστε πιο προσεκτικοί με τα προσωπικά στοιχεία που μοιράζεστε σε αυτές τις πλατφόρμες. Εάν χρησιμοποιείτε το Instagram, το TikTok ή το YouTube, θα πρέπει επίσης να έχετε υπόψη σας ότι δεν είναι ακόμη σαφές εάν κάποιος έχει αποκτήσει πρόσβαση στα δεδομένα που διέρρευσαν προτού καταργηθούν. Ίσως θέλετε να είστε επιφυλακτικοί για τυχόν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή μηνύματα.