235 miljoen accounts van Instagram-, TikTok- en YouTube-gebruikers zijn onthuld

Social Media Data Leak

Op 1 augustus Comparitech's security onderzoekers vonden een database die gehouden tal van persoonlijke informatie en was toegankelijk van overal in de wereld zonder enige vorm van authenticatie. Onder leiding van Bob Diachenko analyseerde het team de inhoud van de server en stelde vast dat er iets meer dan 238 miljoen records op stonden. Van hen waren er 192 miljoen van Instagram-gebruikers, ongeveer 42 miljoen waren afkomstig van het populaire videoplatform TikTok en iets minder dan 4 miljoen bevatten informatie met betrekking tot YouTube-accounts.

De gegevens waren niet uniform in de informatie die ze openbaarden. Slechts ongeveer een vijfde daarvan bevatte bijvoorbeeld een telefoonnummer of een e-mailadres. Er werden geen wachtwoorden onthuld, hoewel er nog heel wat andere informatie voor het oprapen lag. Het bevatte profielnamen, echte namen, profielfoto's, de leeftijd en het geslacht van de gebruikers, evenals een breed scala aan statistieken over hun betrokkenheid bij sociale media en andere mensen. Nadat Diachenko had geleerd wat voor soort gegevens werden blootgesteld, was de volgende taak om erachter te komen hoe het in de lekkende databases terechtkwam.

Instagram, TikTok en YouTube zijn niet gehackt

Gebruikers van sociale media onder jullie zullen opgelucht zijn om te horen dat het lek niet het resultaat was van gecoördineerde cyberaanvallen op Instagram, TikTok en YouTube. In feite zijn de gelekte gegevens niet gestolen in de volle betekenis van het woord. Het was openbaar gemaakt door de accounteigenaren zelf, en het werd geschraapt en georganiseerd door een geautomatiseerd script.

Aanvankelijk was Diachenko er vrij zeker van dat de databases toebehoorden aan Deep Social, een inmiddels ter ziele gegane analysebedrijf dat vroeger op het gebied van influencer-marketing werkte. Een paar jaar geleden schepte Deep Social op over een groot klantenbestand en samenwerkingen met grote bedrijven. In de zomer van 2018 vertelde Facebook echter aan Deep Social dat het niet langer was toegestaan om de API van de sociale media te gebruiken vanwege een inbreuk op de servicevoorwaarden. Kort daarna viel het analysebedrijf op.

Desalniettemin slaagde Diachenko erin contact op te nemen met een persoon die betrokken was bij Deep Social en het lek aan het licht te brengen. Hij kreeg te horen dat zijn e-mail was doorgestuurd naar een ander influencer-marketingbedrijf met de naam Social Data. Social Data haalde de server enkele uren na de ontdekking ervan uit, en een woordvoerder nam contact op met Comparitech om zich te verontschuldigen voor het lek en erop te wijzen dat Social Data niets gemeen heeft met Deep Social. De aanwezigheid van "deepsocial" in de namen van de databases van Social Data en de overeenkomsten tussen de About Us-pagina's op de websites van de twee bedrijven bleven onverklaard.

Waarom was het lek erg?

Je zou kunnen denken dat het lek niet zo erg is. Immers, zoals de woordvoerder van Social Data maar al te graag benadrukte, is de informatie die in de database is verzameld te zien op de profielpagina's van de 238 miljoen getroffen accounts. Het is publiekelijk beschikbaar, en in theorie weten de eigenaren dat heel goed. Alle sociale gegevens hebben gedaan, is het schrapen en verzamelen in een goed georganiseerde database. Dit, let wel, is vrijwel hetzelfde als wat Deep Social deed tot Facebook het een klap op de pols gaf.

Het schrapen van openbaar toegankelijke gegevens druist in tegen de gebruiksvoorwaarden van de meeste sociale netwerken, en daar is een zeer goede reden voor. Bedrijven zoals Social Data en Deep Social verzamelen al deze informatie en profiteren er later van door deze te verkopen aan klanten die gerichte advertentiecampagnes organiseren. Het is al de vraag of dit hele bedrijf in overeenstemming is met wet- en regelgeving zoals de AVG van de EU, bijvoorbeeld, en er zijn ook andere problemen.

Cybercriminelen die gerichte phishing-campagnes willen lanceren tegen gebruikers van sociale media, kunnen enorm profiteren van een goed georganiseerde database die is voorzien van de gegevens van de gebruikers. Dataschrapen is het proces dat deze enorme datasets creëert, en daarom tolereren socialemediagiganten zoals Facebook het niet. Wat nog erger is, zoals Social Data heeft aangetoond, zijn deze databases soms niet veilig opgeslagen, en dit maakt het leven van de boeven een stuk eenvoudiger.

Helaas is dit incident een zeer goede illustratie van hoe weinig controle gebruikers hebben over wat er met hun gegevens gebeurt als deze eenmaal op hun sociale mediaprofiel staan. Daarom moet u waarschijnlijk voorzichtiger zijn met de persoonlijke gegevens die u op deze platforms deelt. Als je Instagram, TikTok of YouTube gebruikt, moet je er ook rekening mee houden dat het nog niet duidelijk is of iemand toegang heeft gehad tot de gelekte gegevens voordat deze werd verwijderd. Wellicht wilt u op uw hoede zijn voor verdachte e-mails of berichten.

August 24, 2020
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.