Instagram、TikTok、YouTubeユーザーの2億3500万のアカウントが公開されている
8月1日、Comparitechのセキュリティ研究者は 、大量の個人情報を保持し、認証なしで世界中のどこからでもアクセスできるデータベースを発見しました。ボブ・ディアチェンコが率いるチームは、サーバーの内容を分析し、2億3800万を超えるレコードを保持していると判断しました。このうち、1億9,200万人がInstagramユーザーに属し、約4,200万人が人気のビデオ共有プラットフォームTikTokから取得され、400万人弱がYouTubeアカウントに関連する情報を含んでいました。
彼らが公開した情報の記録は均一ではなかった。たとえば、電話番号またはメールアドレスのいずれかが含まれているのは約5分の1のみです。パスワードは公開されませんでしたが、他にかなり多くの情報が残されていました。これには、プロフィール名、実名、プロフィール写真、ユーザーの年齢、性別、ソーシャルメディアや他の人々とのエンゲージメントに関する幅広い統計が含まれています。どんな種類のデータが公開されたかを知ったディアチェンコの次の仕事は、それがどのようにして漏洩しやすいデータベースになったのかを理解することでした。
Instagram、TikTok、YouTubeはハッキングされていません
あなたの中のソーシャルメディアユーザーは、そのリークがInstagram、TikTok、YouTubeに対する協調的なサイバー攻撃の結果ではなかったことを知って安心します。実際、漏らされたデータは完全な意味で盗まれたわけではありません。アカウントの所有者自身が公開し、自動化されたスクリプトによってかき集めて整理しました。
当初、ディアチェンコはデータベースがディープソーシャルに属していたことを確信していました。数年前、Deep Socialは大規模なクライアントベースと大手企業とのコラボレーションについて自慢していました。しかしFacebookは2018年の夏に、Deep Socialに、利用規約の違反により、ソーシャルメディアのAPIの使用は許可されなくなったと語った。その後まもなく、分析会社は倒産しました。
それにもかかわらず、ディアチェンコは何とかディープソーシャルの関係者に連絡を取り、その漏洩を明らかにしました。彼のメールはソーシャルデータという名前で別のインフルエンサーマーケティング会社に転送されたと彼は言われました。 Social Dataは発見からわずか数時間でサーバーを停止しました。スポークスパーソンがComparitechに連絡し、リークについて謝罪し、Deep Socialとの共通点は何もないことを指摘しました。 Social Dataのデータベースの名前に「deepsocial」が存在すること、および2つの会社のWebサイトのAbout Usページ間の類似性は、説明されていませんでした。
なぜリークが悪かったのですか?
リークはそれほど悪くないと思うかもしれません。結局のところ、ソーシャルデータのスポークスパーソンは強調するのがあまりにも嬉しかったので、データベースに収集された情報は、2億3800万の影響を受けたアカウントのプロファイルページで見ることができます。それは公開されており、少なくとも理論的には所有者はそれをよく知っています。行ったすべてのソーシャルデータは、それをこすり取り、よく整理されたデータベースに収集します。これは、Facebookが手首に平手打ちを与えるまで、Deep Socialが行っていたのとほとんど同じです。
一般にアクセス可能なデータのスクレイピングは、ほとんどのソーシャルネットワークの利用規約に違反します。これには非常に正当な理由があります。 Social DataやDeep Socialのような企業はこのすべての情報を収集し、ターゲットを絞った広告キャンペーンを組織する顧客に販売することで、その情報から利益を得ます。たとえば、このビジネス全体がEUのGDPRなどの法律や規制に準拠しているかどうか、また他の問題もあるかどうかは、すでに議論の余地があります。
ソーシャルメディアユーザーに対して標的を絞ったフィッシングキャンペーンを開始しようとするサイバー犯罪者は、ユーザーのデータを備えたよく整理されたデータベースから多大な恩恵を受けることができます。データスクレイピングはこれらの巨大なデータセットを作成するプロセスであり、それがFacebookのようなソーシャルメディアの巨人がそれを容認しない理由です。さらに悪いことに、ソーシャルデータが実証したように、これらのデータベースは安全に保存されていない場合があり、これにより犯罪者の生活が非常に楽になります。
残念ながら、このインシデントは、ソーシャルメディアのプロファイルに表示された後のデータの処理をユーザーがほとんど制御できないことを示す非常に優れた例です。そのため、これらのプラットフォームで共有する個人情報については、より注意する必要があります。 Instagram、TikTok、またはYouTubeを使用している場合は、漏洩したデータが削除される前に誰かがアクセスしたかどうかはまだ明確ではないことにも留意してください。疑わしい電子メールやメッセージを探している必要があるかもしれません。