HTCinside


235 millions de profils Instagram, TikTok et YouTube exposés dans une fuite massive de données

L'équipe de recherche en sécurité de Comparitech a annoncé aujourd'hui que près de 235 millions de profils d'utilisateurs Instagram, TikTok et YouTube ont été publiés en ligne en raison d'une base de données non sécurisée dans ce qui ne peut être décrit que comme une violation massive des données.

Récemment, plusieurs rapports liés à des comptes ont été publiés sur des forums de cybercriminalité sur le dark web. L'audit du dark web montre qu'il y a actuellement 15 milliards de connexions volées sur 100 000 brèches, et le pirate donne 386 millions d'enregistrements volés. Toutes ces données n'ont pas été piratées, du moins pas dans le sens habituel du terme : certaines, comme ce fut probablement le cas lors de l'incident d'échange d'armes dans l'Utah, ont été exposées à partir d'une base de données non sécurisée.

Le problème de la base de données non sécurisée

Les bases de données non sécurisées deviennent rapidement un problème de confidentialité si important qu'un chercheur en sécurité vigilant serait à l'origine de la vague d'attaques 'Meow' qui ont détruit les index de milliers d'entre elles. Base de données. Et c'est une base de données tellement peu sécurisée que les chercheurs de Comparitech, dirigés par Bob Diachenko, ont découvert le 1er août, fournissant les données de profil personnel de près de 235 millions d'utilisateurs d'Instagram, TikTok et YouTube.

Les données ont été réparties sur plusieurs ensembles de données ; Les plus grands sont deux, à un peu moins de 100 millions chacun, et contiennent des enregistrements de profil qui semblent provenir d'Instagram. Le troisième plus grand était un ensemble de données d'environ 42 millions d'utilisateurs de TikTok, suivi de près de 4 millions de profils d'utilisateurs YouTube.

Lis -Les comptes Twitter d'Apple, Elon Musk et Jeff Bezos ont été piratés

Comparitech indique que sur la base des échantillons collectés, un enregistrement sur cinq contenait un numéro de téléphone ou une adresse e-mail. Chaque enregistrement contenait également au moins une partie, parfois toutes les informations suivantes :

Nom de profil
Nom et prénom
Image de profil
Description du compte

Statistiques de rétention des abonnés, y compris :

Nombre d'abonnés
Taux d'engagement
Taux de croissance des abonnés
Sexe du public
Âge du public
Lieu du public
Nombre de likes
L'horodatage du dernier message
Âge
Le genre

'Les informations seraient probablement plus précieuses pour les spammeurs et les cybercriminels menant des campagnes de phishing', déclare Paul Bischoff, rédacteur en chef de Comparitech. 'Bien que les données soient accessibles au public, le fait qu'elles soient entièrement divulguées sous la forme d'une base de données bien structurée les rend beaucoup plus précieuses que n'importe quel profil ne le ferait à lui seul', ajoute Bischoff. En fait, Bischoff a déclaré qu'il serait facile pour un bot d'utiliser la base de données pour publier des commentaires de spam spécifiques sur n'importe quel profil Instagram qui correspond à des critères tels que le sexe, l'âge ou le nombre d'abonnés.

Suivi de la source des données divulguées

D'où viennent toutes ces données ? Les chercheurs suggèrent que les preuves, y compris les noms des enregistrements, pointaient vers une société appelée Deep Social. Cependant, Deep Social a été banni de Facebook et d'Instagram en 2018 après la restauration des données du profil utilisateur. La société a été dissoute quelque temps plus tard.

Un porte-parole de la société Facebook a déclaré que «la suppression des informations des personnes d'Instagram est une grave violation de nos politiques. Nous avons révoqué l'accès de Deep Social à notre plateforme en juin 2018 et envoyé une notice légale interdisant toute nouvelle collecte. de données. “.

Après que les chercheurs ont trouvé la base de données et trouvé des indices sur son origine, 'nous avons envoyé un avertissement à Deep Social, en supposant que les données leur appartenaient', explique Bischoff. Les administrateurs de Deep Social ont ensuite transmis la divulgation à une société de marketing de données d'influence sociale enregistrée à Hong Kong appelée Social Data. 'Social Data a fermé la base de données environ trois heures après notre premier e-mail', explique Bischoff.