235 milionów kont użytkowników Instagram, TikTok i YouTube zostało ujawnionych

1 sierpnia badacze bezpieczeństwa Comparitech znaleźli bazę danych, która zawierała mnóstwo danych osobowych i była dostępna z dowolnego miejsca na świecie bez jakiejkolwiek formy uwierzytelniania. Zespół kierowany przez Boba Diachenko przeanalizował zawartość serwera i ustalił, że zawiera on nieco ponad 238 milionów rekordów. Spośród nich 192 miliony należało do użytkowników Instagrama, około 42 miliony pochodziło z popularnej platformy do udostępniania filmów TikTok, a niecałe 4 miliony zawierało informacje związane z kontami YouTube.

Informacje, które ujawnili, nie były jednolite. Na przykład tylko około jedna piąta z nich zawierała numer telefonu lub adres e-mail. Żadne hasła nie zostały ujawnione, chociaż zostało do wzięcia całkiem sporo innych informacji. Zawierał nazwy profili, prawdziwe imiona, zdjęcia profilowe, wiek, płeć użytkowników, a także szeroki wachlarz statystyk dotyczących ich zaangażowania w media społecznościowe i inne osoby. Dowiedziawszy się, jakie dane zostały ujawnione, następnym zadaniem Diachenko było ustalenie, w jaki sposób trafiły one do nieszczelnych baz danych.

Instagram, TikTok i YouTube nie zostały zhakowane

Użytkownicy mediów społecznościowych z ulgą dowiedzą się, że wyciek nie był wynikiem skoordynowanych cyberataków na Instagram, TikTok i YouTube. W rzeczywistości ujawnione dane nie zostały skradzione w pełnym tego słowa znaczeniu. Został udostępniony publicznie przez samych właścicieli kont, a następnie został zeskrobany i zorganizowany przez automatyczny skrypt.

Początkowo Diachenko był prawie pewien, że bazy danych należą do Deep Social, nieistniejącej już firmy analitycznej, która wcześniej zajmowała się marketingiem wpływowym. Kilka lat temu Deep Social chwalił się dużą bazą klientów i współpracą z dużymi firmami. Jednak latem 2018 roku Facebook powiedział Deep Social, że nie wolno mu już korzystać z API mediów społecznościowych z powodu naruszenia warunków korzystania z usługi. Wkrótce potem firma analityczna upadła.

Mimo to Diachenko skontaktował się z osobą związaną z Deep Social i ujawnił wyciek. Powiedziano mu, że jego e-mail został przesłany do innej firmy zajmującej się marketingiem wpływowym o nazwie Social Data. Dane społecznościowe wyłączyły serwer zaledwie kilka godzin po jego odkryciu, a rzecznik skontaktował się z firmą Comparitech, aby przeprosić za wyciek i wskazać, że dane społecznościowe nie mają nic wspólnego z Deep Social. Obecność „deepsocial” w nazwach baz danych Social Data i podobieństwa między stronami O nas na stronach internetowych obu firm pozostały niewyjaśnione.

Dlaczego wyciek był zły?

Możesz pomyśleć, że wyciek nie jest taki zły. W końcu, jak podkreślił rzecznik Social Data, informacje zebrane w bazie danych można zobaczyć na stronach profili 238 milionów kont, których dotyczy problem. Jest publicznie dostępny i przynajmniej w teorii właściciele dobrze o tym wiedzą. Wszystko, co zrobiły dane społecznościowe, to zeskrobanie ich i zebranie w dobrze zorganizowanej bazie danych. Pamiętaj, że jest to prawie to samo, co Deep Social robił, dopóki Facebook nie uderzył go w nadgarstek.

Skrobanie publicznie dostępnych danych jest sprzeczne z warunkami korzystania z większości sieci społecznościowych i jest ku temu bardzo dobry powód. Firmy takie jak Social Data i Deep Social zbierają wszystkie te informacje, a później czerpią z nich korzyści, sprzedając je klientom, którzy organizują ukierunkowane kampanie reklamowe. Jest już dyskusyjne, czy cała ta działalność jest zgodna z przepisami i regulacjami, na przykład RODO UE, ale są też inne problemy.

Cyberprzestępcy, którzy chcą rozpocząć ukierunkowane kampanie phishingowe przeciwko użytkownikom mediów społecznościowych, mogą odnieść ogromne korzyści z dobrze zorganizowanej bazy danych, która zawiera dane użytkowników. Skrobanie danych to proces, który tworzy te ogromne zbiory danych i dlatego giganci mediów społecznościowych, tacy jak Facebook, nie tolerują tego. Co gorsza, jak pokazały dane społecznościowe, czasami te bazy danych nie są bezpiecznie przechowywane, a to znacznie ułatwia życie oszustom.

Niestety, ten incydent jest bardzo dobrą ilustracją tego, jak niewielką kontrolę mają użytkownicy nad tym, co dzieje się z ich danymi, gdy znajdą się na ich profilu w mediach społecznościowych. Dlatego prawdopodobnie powinieneś bardziej uważać na dane osobowe, które udostępniasz na tych platformach. Jeśli korzystasz z Instagrama, TikTok lub YouTube, pamiętaj również, że nie jest jeszcze jasne, czy ktoś uzyskał dostęp do wyciekłych danych, zanim zostały one usunięte. Możesz chcieć wypatrywać podejrzanych e-maili lub wiadomości.