235 milhões de contas de usuários do Instagram, TikTok e YouTube foram expostas

Em 1º de agosto, os pesquisadores de segurança da Comparitech encontraram um banco de dados que continha toneladas de informações pessoais e era acessível de qualquer lugar do mundo sem qualquer forma de autenticação. Liderada por Bob Diachenko, a equipe analisou o conteúdo do servidor e determinou que ele continha pouco mais de 238 milhões de registros. Destes, 192 milhões pertenciam a usuários do Instagram, cerca de 42 milhões foram retirados da popular plataforma de compartilhamento de vídeo TikTok e pouco menos de 4 milhões continham informações relacionadas a contas do YouTube.

Os registros não eram uniformes nas informações que expunham. Apenas cerca de um quinto deles, por exemplo, continha um número de telefone ou um endereço de e-mail. Nenhuma senha foi exposta, embora muitas outras informações tenham sido deixadas para serem coletadas. Incluía nomes de perfil, nomes reais, fotos de perfil, idade e gênero dos usuários, bem como uma ampla gama de estatísticas sobre seu envolvimento com as mídias sociais e outras pessoas. Tendo aprendido que tipo de dados foram expostos, a próxima tarefa de Diachenko foi descobrir como eles acabaram nos bancos de dados que vazavam.

Instagram, TikTok e YouTube não foram hackeados

Usuários de mídia social entre vocês ficarão aliviados ao saber que o vazamento não foi resultado de ataques cibernéticos coordenados contra Instagram, TikTok e YouTube. Na verdade, os dados vazados não foram roubados no sentido pleno da palavra. Ele foi disponibilizado publicamente pelos próprios proprietários da conta e foi copiado e organizado por um script automatizado.

Inicialmente, Diachenko tinha quase certeza de que os bancos de dados pertenciam à Deep Social, uma empresa de análise agora extinta que costumava trabalhar na área de marketing de influenciadores. Há alguns anos, o Deep Social se gabava de uma grande base de clientes e de colaborações com grandes empresas. No verão de 2018, no entanto, o Facebook disse ao Deep Social que não tinha mais permissão para usar a API da mídia social devido a uma violação dos termos de serviço. Pouco depois, a empresa de análise fechou.

No entanto, Diachenko conseguiu entrar em contato com uma pessoa envolvida com Deep Social e divulgou o vazamento. Ele foi informado de que seu e-mail havia sido encaminhado para outra empresa de marketing de influência, chamada Social Data. O Social Data desligou o servidor poucas horas após sua descoberta, e um porta-voz entrou em contato com a Comparitech para se desculpar pelo vazamento e apontar que o Social Data não tem nada em comum com o Deep Social. A presença de "deepsocial" nos nomes das bases de dados da Social Data e as semelhanças entre as páginas About Us nos sites das duas empresas permaneceram inexplicadas.

Por que o vazamento estava ruim?

Você pode pensar que o vazamento não é tão ruim. Afinal, como o porta-voz da Social Data ficou muito feliz em enfatizar, as informações coletadas no banco de dados podem ser vistas nas páginas de perfil das 238 milhões de contas afetadas. Está disponível publicamente e, pelo menos em teoria, os proprietários sabem disso muito bem. Tudo o que os Dados Sociais fizeram foi extraí-los e coletá-los em um banco de dados bem organizado. Isso, veja bem, é praticamente a mesma coisa que o Deep Social estava fazendo até que o Facebook deu um tapa no pulso.

A coleta de dados acessíveis publicamente vai contra os termos de uso da maioria das redes sociais, e há um bom motivo para isso. Empresas como Social Data e Deep Social coletam todas essas informações e, posteriormente, lucram com a venda para clientes que organizam campanhas publicitárias direcionadas. Já é discutível se todo esse negócio está de acordo com leis e regulamentos como o GDPR da UE, por exemplo, e há outros problemas também.

Os cibercriminosos que desejam lançar campanhas de phishing direcionadas contra usuários de mídia social podem se beneficiar enormemente de um banco de dados bem organizado que é fornecido com os dados dos usuários. A coleta de dados é o processo que cria esses enormes conjuntos de dados, e é por isso que gigantes da mídia social como o Facebook não toleram isso. O que é ainda pior, como o Social Data demonstrou, às vezes esses bancos de dados não são armazenados de forma segura, e isso torna a vida dos criminosos muito mais fácil.

Infelizmente, esse incidente é uma ilustração muito boa de como os usuários têm pouco controle sobre o que acontece com seus dados, uma vez que estão em seus perfis de mídia social. É por isso que você provavelmente deveria ter mais cuidado com os detalhes pessoais que compartilha nessas plataformas. Se você usa Instagram, TikTok ou YouTube, também deve ter em mente que ainda não está claro se alguém acessou os dados vazados antes de serem removidos. Você pode querer estar atento a quaisquer e-mails ou mensagens suspeitas.