HTCinside


235 milijonai „Instagram“, „TikTok“ ir „YouTube“ profilių buvo atskleisti dėl didžiulio duomenų nutekėjimo

„Comparitech“ saugumo tyrimų komanda šiandien paskelbė, kad beveik 235 milijonai „Instagram“, „TikTok“ ir „YouTube“ vartotojų profilių buvo paskelbti internete dėl nesaugios duomenų bazės, kurią galima apibūdinti tik kaip didžiulį duomenų pažeidimą.

Neseniai tamsaus interneto kibernetinių nusikaltimų forumuose buvo paskelbtos kelios su paskyromis susijusios ataskaitos. Tamsiojo interneto auditas rodo, kad šiuo metu iš 100 000 pažeidimų yra pavogta 15 milijardų jungčių, o įsilaužėlis atiduoda 386 milijonus pavogtų įrašų. Ne visi šie duomenys buvo nulaužti, bent jau ne įprasta to žodžio prasme: kai kurie, kaip ir buvo per ginklų apsikeitimo Jutoje incidentą, buvo atskleisti iš nesaugios duomenų bazės.

Neapsaugotos duomenų bazės problema

Nesaugios duomenų bazės greitai tampa tokia svarbia privatumo problema, kad manoma, kad už „Miau“ atakų bangos, sunaikinusių tūkstančių jų indeksus, slypi budrus saugumo tyrinėtojas. Duomenų bazė. Ir tai yra tokia nesaugi duomenų bazė, kurią Comparitech tyrėjai, vadovaujami Bobo Diachenko, atrado rugpjūčio 1 d., pateikdami beveik 235 milijonų Instagram, TikTok ir YouTube vartotojų asmeninius profilių duomenis.

Duomenys buvo paskirstyti keliuose duomenų rinkiniuose; Didžiausi yra du, kurių kiekvienas siekia šiek tiek mažiau nei 100 mln., juose yra profilio įrašų, kurie, atrodo, yra iš „Instagram“. Trečias pagal dydį buvo maždaug 42 milijonų „TikTok“ vartotojų duomenų rinkinys, po kurio sekė beveik 4 milijonai „YouTube“ naudotojų profilių.

Skaityti –„Apple“, Elono Musko ir Jeffo Bezoso „Twitter“ paskyros buvo nulaužtos

„Comparitech“ teigia, kad remiantis surinktais pavyzdžiais, viename iš penkių įrašų buvo telefono numeris arba el. pašto adresas. Kiekviename įraše taip pat buvo bent dalis, kartais visa toliau nurodyta informacija:

Profilio vardas
Pilnas vardas
Profilio nuotrauka
Paskyros aprašymas

Abonentų išlaikymo statistika, įskaitant:

Sekėjų skaičius
Įsitraukimo rodiklis
Abonentų augimo tempas
Auditorijos lytis
Žiūrovų amžius
Auditorijos vieta
Patinka skaičius
Paskutinio įrašo laiko žyma
Amžius
Lytis

„Informacija tikriausiai būtų vertingesnė šiukšlių siuntėjams ir elektroniniams nusikaltėliams, vykdantiems sukčiavimo kampanijas“, – sako Paulas Bischoffas, „Comparitech“ vyriausiasis redaktorius. „Nors duomenys yra viešai prieinami, faktas, kad jie yra visiškai atskleisti kaip gerai struktūrizuota duomenų bazė, daro juos daug vertingesniu, nei bet koks profilis būtų paimtas atskirai“, - priduria Bischoffas. Tiesą sakant, Bischoffas pasakė, kad botui būtų lengva naudoti duomenų bazę, kad paskelbtų konkrečius nepageidaujamo pašto komentarus bet kuriame „Instagram“ profilyje, atitinkančiame tokius kriterijus kaip lytis, amžius ar prenumeratorių skaičius.

Atskleidžiamų duomenų šaltinio sekimas

Iš kur visi šie duomenys? Tyrėjai teigia, kad įrodymai, įskaitant įrašų pavadinimus, nurodė įmonę „Deep Social“. Tačiau „Deep Social“ buvo uždrausta iš „Facebook“ ir „Instagram“ 2018 m., Atkūrus vartotojo profilio duomenis. Vėliau įmonė buvo likviduota.

„Facebook“ bendrovės atstovas sakė, kad „žmonių informacijos pašalinimas iš Instagram yra rimtas mūsų politikos pažeidimas. 2018 m. birželio mėn. atšaukėme „Deep Social“ prieigą prie mūsų platformos ir išsiuntėme teisinį pranešimą, draudžiantį bet kokią naują kolekciją. duomenų. “.

Kai mokslininkai rado duomenų bazę ir rado įkalčių apie jos kilmę, „išsiuntėme įspėjimą Deep Social, darydami prielaidą, kad duomenys buvo jų“, - aiškina Bischoffas. Tada „Deep Social“ direktoriai perdavė informaciją Honkonge registruotai socialinių influencerių duomenų rinkodaros bendrovei „Social Data“. „Socialiniai duomenys uždarė duomenų bazę praėjus maždaug trims valandoms po mūsų pirmojo el. laiško“, - sako Bischoffas.