235 millioner kontoer av brukere av Instagram, TikTok og YouTube er blitt utsatt

1. august fant Comparitechs sikkerhetsforskere en database som inneholdt tonnevis med personlig informasjon og var tilgjengelig fra hvor som helst i verden uten noen form for autentisering. Ledet av Bob Diachenko analyserte teamet innholdet på serveren og slo fast at den hadde i overkant av 238 millioner poster. Av dem tilhørte 192 millioner Instagram-brukere, omtrent 42 millioner hadde blitt hentet fra den populære videodelingsplattformen TikTok, og i underkant av 4 millioner inneholdt informasjon relatert til YouTube-kontoer.

Registreringene var ikke ensartede i informasjonen de utsatte. Bare rundt en femtedel av dem inneholdt for eksempel enten et telefonnummer eller en e-postadresse. Ingen passord ble eksponert, selv om det var mye annen informasjon som ble tatt igjen. Det inkluderte profilnavn, ekte navn, profilbilder, brukernes alder, kjønn, samt en lang rekke statistikker om deres engasjement med sosiale medier og andre mennesker. Etter å ha lært hva slags data som ble eksponert, var Diachenko sin neste jobb å finne ut hvordan de havnet i de utette databasene.

Instagram, TikTok og YouTube ble ikke hacket

Brukere av sosiale medier blant dere vil bli lettet over å få vite at lekkasjen ikke var et resultat av koordinerte cyberattacks mot Instagram, TikTok og YouTube. Faktisk ble ikke de lekkede dataene stjålet i ordets fulle forstand. Det hadde blitt gjort offentlig tilgjengelig av kontoeierne selv, og det ble skrapt og organisert av et automatisert skript.

Opprinnelig var Diachenko ganske sikker på at databasene tilhørte Deep Social, et nå nedlagt analyseselskap som pleide å jobbe innen influencer marketing. For et par år siden skryter Deep Social om et stort kundegrunnlag og samarbeid med store selskaper. Sommeren 2018 fortalte Facebook imidlertid Deep Social at det ikke lenger var lov å bruke sosiale medias API på grunn av brudd på tjenestevilkårene. Kort tid etter brettet analyseselskapet.

Likevel klarte Diachenko å kontakte en person involvert i Deep Social og avslørte lekkasjen. Han ble fortalt at e-posten hans hadde blitt videresendt til et annet influencer-markedsføringsselskap med navnet Social Data. Social Data tok serveren ned bare timer etter at den ble oppdaget, og en talsperson tok kontakt med Comparitech for å be om unnskyldning for lekkasjen og påpekte at Social Data ikke har noe til felles med Deep Social. Tilstedeværelsen av "deepsocial" i navnene på Social Datas databaser og likhetene mellom Om Us-sidene på de to selskapenes nettsteder forble uforklarlig.

Hvorfor var lekkasjen dårlig?

Du kan tro at lekkasjen ikke er så dårlig. Når alt kommer til alt, slik talsperson for Social Data bare var for glad for å understreke, kan informasjonen som er samlet i databasen, sees på profilsidene til de 238 millioner berørte kontoene. Det er offentlig tilgjengelig, og i det minste i teorien, eierne vet det veldig godt. Alt sosiale data har gjort er å skrape det og samle dem i en godt organisert database. Dette, husk deg, er stort sett det samme som Deep Social gjorde frem til Facebook ga det en smekk på håndleddet.

Skraping av offentlig tilgjengelige data er i strid med de fleste sosiale nettverkers vilkår for bruk, og det er en veldig god grunn til dette. Bedrifter som Social Data og Deep Social samler all denne informasjonen, og de tjener senere på den ved å selge den til kunder som organiserer målrettede annonsekampanjer. Det kan allerede diskuteres om hele denne virksomheten er i tråd med lover og forskrifter som EUs GDPR, for eksempel, og det er andre problemer også.

Cyberkriminelle som ønsker å starte målrettede phishing-kampanjer mot brukere av sosiale medier, kan dra stor nytte av en godt organisert database som er utstyrt med brukernes data. Dataskraping er prosessen som skaper disse enorme datasettene, og det er grunnen til at sosiale mediediganter som Facebook ikke tåler det. Det som er enda verre, som sosiale data demonstrerte, noen ganger blir ikke disse databasene lagret sikkert, og dette gjør skurkenes liv mye enklere.

Dessverre er denne hendelsen en veldig god illustrasjon av hvor lite kontroll brukere har over hva som skjer med dataene når de først er på profilen deres på sosiale medier. Derfor bør du sannsynligvis være mer forsiktig med de personlige detaljene du deler på disse plattformene. Hvis du bruker Instagram, TikTok eller YouTube, bør du også huske på at det ennå ikke er klart om noen fikk tilgang til de lekkede dataene før de ble tatt ned. Det kan være lurt å være på utkikk etter mistenkelige e-poster eller meldinger.