HTCinside


235 miljoni Instagram, TikTok un YouTube profilu atklāti masveida datu noplūdei

Comparitech drošības izpētes komanda šodien paziņoja, ka gandrīz 235 miljoni Instagram, TikTok un YouTube lietotāju profilu ir publicēti tiešsaistē nedrošas datu bāzes dēļ, ko var raksturot tikai kā milzīgu datu pārkāpumu.

Nesen tumšā tīmekļa kibernoziedzības forumos ir publicēti vairāki ar kontiem saistīti ziņojumi. Tumšā tīmekļa audits liecina, ka pašlaik ir 15 miljardi nozagtu savienojumu no 100 000 pārkāpumiem, un hakeris izsniedz 386 miljonus nozagtu ierakstu. Ne visi šie dati ir uzlauzti, vismaz ne šī vārda parastajā nozīmē: daži, kā tas, iespējams, notika Jūtas ieroču apmaiņas incidenta laikā, tika atklāti no nedrošas datu bāzes.

Nenodrošinātas datu bāzes problēma

Nedrošas datu bāzes strauji kļūst par tik lielu privātuma problēmu, ka tiek uzskatīts, ka aiz 'Meow' uzbrukumu viļņa, kas iznīcināja tūkstošiem datubāzes, ir modrs drošības pētnieks. Datu bāze. Un tā ir tik nedroša datu bāze, ko Comparitech pētnieki Boba Diačenko vadībā atklāja 1. augustā, nodrošinot gandrīz 235 miljonu Instagram, TikTok un YouTube lietotāju personīgo profilu datus.

Dati tika sadalīti vairākās datu kopās; Lielākie ir divi, katrs ir nedaudz mazāk par 100 miljoniem, un tajos ir profila ieraksti, kas, šķiet, nāk no Instagram. Trešā lielākā bija datu kopa ar aptuveni 42 miljoniem TikTok lietotāju, kam sekoja gandrīz 4 miljoni YouTube lietotāju profilu.

Lasīt -Apple, Elona Maska un Džefa Bezosa Twitter konti tika uzlauzti

Comparitech norāda, ka, pamatojoties uz savāktajiem paraugiem, katrā piektajā ierakstā bija tālruņa numurs vai e-pasta adrese. Katrs ieraksts saturēja arī vismaz daļu, dažreiz arī visu tālāk norādīto informāciju:

Profila vārds
Pilnais vārds
Profila bilde
Konta apraksts

Abonentu saglabāšanas statistika, tostarp:

Sekotāju skaits
Iesaistīšanās līmenis
Abonentu pieauguma temps
Auditorijas dzimums
Skatītāju vecums
Auditorijas atrašanās vieta
Patīk skaits
Pēdējās ziņas laikspiedols
Vecums
Dzimums

'Informācija, iespējams, būtu vērtīgāka surogātpasta izplatītājiem un kibernoziedzniekiem, kas veic pikšķerēšanas kampaņas,' saka Pols Bišofs, Comparitech galvenais redaktors. 'Lai gan dati ir publiski pieejami, fakts, ka tie ir pilnībā atklāti kā labi strukturēta datubāze, padara tos daudz vērtīgākus nekā jebkurš profils atsevišķi,' piebilst Bišofs. Faktiski Bišofs teica, ka robotam būtu viegli izmantot datu bāzi, lai ievietotu īpašus surogātpasta komentārus jebkurā Instagram profilā, kas atbilst tādiem kritērijiem kā dzimums, vecums vai abonentu skaits.

Atklāto datu avota izsekošana

No kurienes nāk visi šie dati? Pētnieki norāda, ka pierādījumi, tostarp ierakstu nosaukumi, norādīja uz uzņēmumu Deep Social. Tomēr Deep Social tika aizliegts no Facebook un Instagram 2018. gadā pēc lietotāja profila datu atjaunošanas. Uzņēmums tika likvidēts kādu laiku vēlāk.

Facebook uzņēmuma pārstāvis sacīja, ka 'cilvēku informācijas noņemšana no Instagram ir nopietns mūsu politikas pārkāpums. 2018. gada jūnijā mēs atsaucām Deep Social piekļuvi mūsu platformai un nosūtījām juridisku paziņojumu, aizliedzot jebkādu jaunu kolekciju. no datiem. “.

Pēc tam, kad pētnieki atrada datubāzi un atrada norādes par tās izcelsmi, 'mēs nosūtījām brīdinājumu Deep Social, pieņemot, ka dati pieder viņiem,' skaidro Bišofs. Pēc tam Deep Social direktori nodeva informāciju Honkongā reģistrētam sociālo ietekmētāju datu mārketinga uzņēmumam ar nosaukumu Social Data. 'Sociālie dati slēdza datubāzi apmēram trīs stundas pēc mūsu pirmā e-pasta ziņojuma,' saka Bišofs.