HTCinside
Дослідницька група Comparitech оголосила сьогодні, що майже 235 мільйонів профілів користувачів Instagram, TikTok і YouTube були опубліковані в Інтернеті через незахищену базу даних, що можна назвати лише масовим витоком даних.
Нещодавно на форумах темної мережі про кіберзлочинність було опубліковано кілька звітів про облікові записи. Аудит темної мережі показує, що наразі є 15 мільярдів викрадених з’єднань із 100 000 зломів, і хакер розкриває 386 мільйонів викрадених записів. Не всі ці дані були зламані, принаймні не в звичайному розумінні цього слова: деякі, як, ймовірно, було під час інциденту з обміном зброєю в Юті, були викриті з незахищеної бази даних.
Небезпечні бази даних швидко стають настільки серйозною проблемою конфіденційності, що пильний дослідник безпеки, як вважають, стоїть за хвилею атак типу «Мяу», які знищили індекси тисяч із них. База даних. І саме таку незахищену базу даних дослідники Comparitech під керівництвом Боба Дяченка виявили 1 серпня, надавши особисті дані профайлів майже 235 мільйонів користувачів Instagram, TikTok і YouTube.
Дані були розподілені між кількома наборами даних; Найбільші з них два, трохи менше 100 мільйонів кожен, і містять записи профілів, які, здається, походять із Instagram. Третім за величиною був набір даних із приблизно 42 мільйонів користувачів TikTok, за яким йшли майже 4 мільйони профілів користувачів YouTube.
Читати –Акаунти Apple, Ілона Маска та Джеффа Безоса в Twitter зламали
Comparitech стверджує, що на основі зібраних зразків кожен п’ятий запис містив номер телефону або електронну адресу. Кожен запис також містив принаймні частину, іноді всю наступну інформацію:
Імя профілю
Повне ім'я
Зображення профілю
Опис облікового запису
Статистика утримання передплатників, зокрема:
Кількість підписників
Коефіцієнт залучення
Темп зростання передплатників
Стать аудиторії
Вік аудиторії
Розташування аудиторії
Кількість лайків
Позначка часу останнього допису
Вік
Стать
«Інформація, ймовірно, буде більш цінною для спамерів і кіберзлочинців, які проводять фішингові кампанії», — говорить Пол Бішофф, головний редактор Comparitech. «Хоча дані є загальнодоступними, той факт, що вони повністю розкриті як добре структурована база даних, робить їх набагато ціннішими, ніж будь-який профіль сам по собі», — додає Бішофф. Фактично, Бішофф сказав, що боту було б легко використовувати базу даних для публікації конкретних спам-коментарів у будь-якому профілі Instagram, який відповідає таким критеріям, як стать, вік або кількість підписників.
Звідки всі ці дані? Дослідники припускають, що докази, включаючи назви записів, вказують на компанію під назвою Deep Social. Однак у 2018 році Deep Social було заборонено у Facebook та Instagram після відновлення даних профілів користувачів. Через деякий час компанія була ліквідована.
Представник компанії Facebook сказав, що «видалення інформації людей з Instagram є серйозним порушенням нашої політики. Ми скасували доступ Deep Social до нашої платформи в червні 2018 року та надіслали офіційне повідомлення про заборону будь-якої нової колекції. даних. “.
Після того, як дослідники знайшли базу даних і знайшли підказки щодо її походження, «ми надіслали попередження Deep Social, припускаючи, що дані належать їм», — пояснює Бішофф. Керівники Deep Social потім передали розголошення зареєстрованій у Гонконзі компанії з маркетингу даних соціальних впливових людей під назвою Social Data. «Соціальні дані закрили базу даних приблизно через три години після нашого першого електронного листа», — каже Бішофф.