HTCinside


235 милиона профили в Instagram, TikTok и YouTube бяха разкрити при масивно изтичане на данни

Екипът за изследване на сигурността на Comparitech обяви днес, че близо 235 милиона потребителски профили в Instagram, TikTok и YouTube са били публикувани онлайн поради несигурна база данни в нещо, което може да се опише само като масивно нарушение на данните.

Наскоро няколко доклада, свързани с акаунти, бяха публикувани във форуми за киберпрестъпления в тъмната мрежа. Одитът на тъмната мрежа показва, че в момента има 15 милиарда откраднати връзки от 100 000 пробиви, а хакерът раздава 386 милиона откраднати записи. Не всички от тези данни са били хакнати, поне не в обичайния смисъл на думата: някои, както вероятно беше случаят по време на инцидента с размяната на оръжия в Юта, бяха изложени от незащитена база данни.

Проблемът с незащитената база данни

Опасните бази данни бързо се превръщат в толкова голям проблем с поверителността, че се смята, че бдителен изследовател на сигурността стои зад вълната от атаки „Мяу“, които са унищожили индексите на хиляди от тях. База данни. И това е такава несигурна база данни, която изследователите на Comparitech, ръководени от Боб Диаченко, откриха на 1 август, предоставяйки данните за личните профили на близо 235 милиона потребители на Instagram, TikTok и YouTube.

Данните бяха разпределени в няколко набора от данни; Най-големите са два, малко под 100 милиона всеки, и съдържат записи на профили, които изглежда идват от Instagram. Третият по големина беше набор от данни от около 42 милиона потребители на TikTok, следван от близо 4 милиона потребителски профили в YouTube.

Прочети -Twitter акаунтите на Apple, Илон Мъск и Джеф Безос бяха хакнати

Comparitech заявява, че въз основа на събраните проби един на всеки пет записа съдържа телефонен номер или имейл адрес. Всеки запис също съдържаше поне част, понякога цялата следната информация:

Профилно име
Пълно име
Снимка на профила
Описание на акаунта

Статистика за задържане на абонати, включително:

Брой последователи
Процент на ангажираност
Темп на нарастване на абонатите
Пол на публиката
Възраст на публиката
Местоположение на публиката
Брой харесвания
Времето на последната публикация
Възраст
Пол

„Информацията вероятно би била по-ценна за спамерите и киберпрестъпниците, провеждащи фишинг кампании“, казва Пол Бишоф, главен редактор на Comparitech. „Въпреки че данните са публично достъпни, фактът, че са напълно разкрити като добре структурирана база данни, ги прави много по-ценни, отколкото всеки профил би поел сам по себе си“, добавя Бишоф. Всъщност Бишоф каза, че би било лесно за бот да използва базата данни, за да публикува конкретни спам коментари във всеки профил в Instagram, който отговаря на критерии като пол, възраст или брой абонати.

Проследяване на източника на разкритите данни

Откъде идват всички тези данни? Изследователите предполагат, че доказателствата, включително имената на записите, сочат към компания, наречена Deep Social. Въпреки това, Deep Social беше забранен от Facebook и Instagram през 2018 г., след като данните от потребителския профил бяха възстановени. Компанията беше разпусната известно време по-късно.

Говорител на компанията Facebook каза, че „премахването на информация на хора от Instagram е сериозно нарушение на нашите политики. Отменихме достъпа на Deep Social до нашата платформа през юни 2018 г. и изпратихме правно известие, забраняващо всяко ново събиране. на данни. “.

След като изследователите намериха базата данни и откриха улики за нейния произход, „изпратихме предупреждение до Deep Social, приемайки, че данните са техни“, обяснява Бишоф. След това директорите на Deep Social предадоха разкритието на регистрирана в Хонконг компания за маркетинг на данни за социални влиятелни лица, наречена Social Data. „Социалните данни затвориха базата данни около три часа след първия ни имейл“, казва Бишоф.