Az Instagram, a TikTok és a YouTube felhasználók 235 millió fiókját tettek nyilvánosságra
Augusztus 1-jén a Comparitech biztonsági kutatói olyan adatbázist találtak, amely rengeteg személyes információt tartalmaz, és bárhol a világon elérhető, bármilyen hitelesítés nélkül. Bob Diachenko vezetésével a csoport elemezte a szerver tartalmát, és megállapította, hogy alig több mint 238 millió rekordot tartalmaz. Ezek közül 192 millió az Instagram felhasználókhoz tartozott, körülbelül 42 milliót a népszerű videomegosztó platformon, a TikTok-tól vették ki, és alig 4 millió tartalmazta a YouTube-fiókokkal kapcsolatos információkat.
A nyilvántartás nem volt egységes az általuk feltárt információban. Például csak körülbelül egyötükük tartalmazta a telefonszámot vagy az e-mail címet. A jelszavak nem kerültek nyilvánosságra, bár sok más információ maradt a megvételhez. Tartalmazta a profilneveket, a valódi neveket, a profilképeket, a felhasználók életkorát, nemét, valamint széles körű statisztikákat tartalmazott a közösségi médiával és más emberekkel való kapcsolattartásukról. Miután megtudta, hogy milyen típusú adatok kerültek nyilvánosságra, Diachenko következő feladata az volt, hogy kitalálja, hogyan jutottak el a szivárgó adatbázisokba.
Az Instagram, a TikTok és a YouTube nem volt feltörve
A közönség közösségi médiafelhasználói megkönnyebbülnek azzal, hogy megtudják, hogy a szivárgás nem az Instagram, a TikTok és a YouTube ellen folytatott összehangolt kiáltások eredménye. Valójában a kiszivárgott adatokat nem lopták el a szó teljes értelmében. Ezt a maguk a számlatulajdonosok nyilvánosan elérhetővé tették, és az automatikus szkript segítségével lekaparták és rendezték.
A Diachenko kezdetben meglehetősen biztos volt abban, hogy az adatbázisok a Deep Social, egy ma már teljesen elveszett elemző céghez tartoznak, amely korábban az influencer marketing területén dolgozott. Pár évvel ezelőtt a Deep Social nagy ügyfélkörrel és nagyvállalatokkal folytatott együttműködésről merült fel. 2018 nyarán azonban a Facebook azt mondta a Deep Socialnak, hogy a szolgáltatási feltételek megsértése miatt már nem engedélyezett a közösségi média API-jának használata. Röviddel ezután az elemző cég összehajtogatta.
Ennek ellenére Diachenkonak sikerült felvennie a kapcsolatot a Deep Social társaságával kapcsolatban, és felfedte a szivárgást. Azt mondták neki, hogy e-mailt a Social Data néven továbbították egy másik influencer marketing társaságnak. A Social Data néhány órával később fedezte fel a kiszolgálót, és a szóvivő kapcsolatba lépett a Comparitech-lel, hogy bocsánatot kérjen a szivárgás miatt, és rámutatott, hogy a Social Data-nak nincs semmi köze a Deep Social-hoz. A "deeppsocial" jelenléte a Social Data adatbázisaiban és a két cég webhelyén található "About Us" oldalak hasonlóságai továbbra sem tisztázottak.
Miért volt a szivárgás rossz?
Azt gondolhatja, hogy a szivárgás nem olyan rossz. Végül is, amint a Social Data szóvivője csak túl örömmel hangsúlyozta, az adatbázisban összegyűjtött információk a 238 millió érintett fiók profiloldalán láthatók. Nyilvánosan elérhető, és legalábbis elméletben a tulajdonosok ezt nagyon jól tudják. Az összes társadalmi adat megtörtént, hogy lekaparja és összegyűjti egy jól szervezett adatbázisba. Ez, szem előtt tartva, nagyjából ugyanaz, amit a Deep Social tett, amíg a Facebook nem csapott rá a csuklójára.
A nyilvánosan hozzáférhető adatok megsemmisítése ellentétes a legtöbb szociális hálózat használati feltételeivel, és ennek nagyon jó oka van. Az olyan vállalatok, mint például a Social Data és a Deep Social, összegyűjtik ezeket az információkat, és később profitálnak belőle, ha célzott hirdetési kampányokat szervező ügyfeleknek adják el. Már vitatható, hogy ez az egész vállalkozás összhangban áll-e olyan törvényekkel és rendeletekkel, mint például az EU GDPR-je, és vannak-e más problémák is.
Azok a számítógépes bűnözők, akik célzott adathalász kampányokat akarnak indítani a közösségi média felhasználói ellen, óriási előnyei lehetnek a jól szervezett adatbázisnak, amely a felhasználók adataival van ellátva. Az adatkaparás az a folyamat, amely ezeket a hatalmas adatkészleteket hozza létre, ezért a szociális média óriásai, mint a Facebook, nem tolerálják azt. Sőt, ami még rosszabb, amint azt a Közösségi Adatok is kimutatták, ezeket az adatbázisokat néha nem tárolják biztonságosan, és ez sokkal könnyebbé teszi a csalók életét.
Sajnos ez az eset nagyon jól szemlélteti, hogy a felhasználók kevés ellenőrzése alatt áll, mi történik az adatokkal, miután a közösségi média profiljukba kerülnek. Ezért valószínűleg óvatosabbnak kell lennie a személyes adatokkal, amelyeket megosztasz ezeken a platformon. Ha Instagram, TikTok vagy YouTube szolgáltatást használ, akkor ne feledje, hogy még nem egyértelmű, hogy valaki hozzáférést kapott-e a kiszivárogtatott adatokhoz, mielőtt azt levennék. Érdemes lehet gyanús e-maileket vagy üzeneteket keresni.