235 milioni di account di utenti Instagram, TikTok e YouTube sono stati smascherati
Il 1 ° agosto, i ricercatori sulla sicurezza di Comparitech hanno trovato un database che conteneva tonnellate di informazioni personali ed era accessibile da qualsiasi parte del mondo senza alcuna forma di autenticazione. Guidato da Bob Diachenko, il team ha analizzato i contenuti del server e ha stabilito che deteneva poco più di 238 milioni di record. Di questi, 192 milioni appartenevano agli utenti di Instagram, circa 42 milioni erano stati presi dalla popolare piattaforma di condivisione video TikTok e poco meno di 4 milioni contenevano informazioni relative agli account YouTube.
I record non erano uniformi nelle informazioni che hanno esposto. Solo circa un quinto di essi, ad esempio, conteneva un numero di telefono o un indirizzo e-mail. Nessuna password è stata esposta, anche se molte altre informazioni sono state lasciate a disposizione. Comprendeva nomi di profilo, nomi reali, foto del profilo, età, sesso degli utenti e un'ampia gamma di statistiche sul loro coinvolgimento con i social media e altre persone. Avendo appreso che tipo di dati sono stati esposti, il lavoro successivo di Diachenko è stato quello di capire come finissero nei database che perdono.
Instagram, TikTok e YouTube non sono stati violati
Gli utenti dei social media tra di voi saranno sollevati nell'apprendere che la fuga di notizie non è stata il risultato di attacchi informatici coordinati contro Instagram, TikTok e YouTube. In effetti, i dati trapelati non sono stati rubati nel pieno senso della parola. Era stato reso disponibile pubblicamente dagli stessi proprietari dell'account ed era stato raschiato e organizzato da uno script automatico.
Inizialmente, Diachenko era abbastanza sicuro che i database appartenessero a Deep Social, una società di analisi ormai defunta che lavorava nel campo dell'influencer marketing. Un paio di anni fa, Deep Social vantava un'ampia base di clienti e collaborazioni con importanti aziende. Nell'estate del 2018, tuttavia, Facebook ha dichiarato a Deep Social che non era più consentito utilizzare l'API dei social media a causa di una violazione dei termini di servizio. Poco dopo, la società di analisi ha chiuso.
Tuttavia, Diachenko è riuscito a contattare una persona coinvolta in Deep Social e ha rivelato la fuga di notizie. Gli è stato detto che la sua email era stata inoltrata a un'altra società di influencer marketing chiamata Social Data. Social Data ha disattivato il server poche ore dopo la sua scoperta e un portavoce si è messo in contatto con Comparitech per scusarsi della fuga di notizie e sottolineare che Social Data non ha nulla in comune con Deep Social. La presenza di "deepsocial" nei nomi dei database di Social Data e le somiglianze tra le pagine Chi siamo sui siti web delle due società sono rimaste inspiegabili.
Perché la perdita era brutta?
Potresti pensare che la perdita non sia così grave. Dopotutto, come il portavoce di Social Data è stato fin troppo felice di sottolineare, le informazioni raccolte nel database possono essere viste sulle pagine del profilo dei 238 milioni di account interessati. È disponibile pubblicamente e, almeno in teoria, i proprietari lo sanno molto bene. Tutto ciò che i dati sociali hanno fatto è stato raschiarli e raccoglierli in un database ben organizzato. Questa, attenzione, è più o meno la stessa cosa che Deep Social stava facendo fino a quando Facebook non gli ha dato uno schiaffo sul polso.
La raschiatura dei dati accessibili al pubblico è contraria ai termini di utilizzo della maggior parte dei social network, e c'è un'ottima ragione per questo. Aziende come Social Data e Deep Social raccolgono tutte queste informazioni e in seguito ne traggono profitto vendendole a clienti che organizzano campagne pubblicitarie mirate. È già discutibile se l'intera faccenda sia in linea con leggi e regolamenti come il GDPR dell'UE, ad esempio, e ci sono anche altri problemi.
I criminali informatici che desiderano lanciare campagne di phishing mirate contro gli utenti dei social media possono trarre enormi vantaggi da un database ben organizzato che viene fornito con i dati degli utenti. Il data scraping è il processo che crea questi enormi set di dati, ed è per questo che i giganti dei social media come Facebook non lo tollerano. Quel che è peggio, come hanno dimostrato i dati sociali, a volte, questi database non sono archiviati in modo sicuro e questo rende la vita dei criminali molto più facile.
Sfortunatamente, questo incidente è un ottimo esempio di quanto poco controllo abbiano gli utenti su ciò che accade con i loro dati una volta che sono sul loro profilo di social media. Ecco perché, probabilmente dovresti stare più attento ai dettagli personali che condividi su queste piattaforme. Se usi Instagram, TikTok o YouTube, dovresti anche tenere presente che non è ancora chiaro se qualcuno abbia avuto accesso ai dati trapelati prima che fossero rimossi. Potresti voler essere alla ricerca di email o messaggi sospetti.
