A equipe de pesquisa de segurança da Comparitech divulgou hoje como um banco de dados inseguro deixou quase 235 milhões de perfis de usuários do Instagram, TikTok e YouTube expostos online, o que só pode ser descrito como um vazamento de dados massivo.

Dados móveis não funcionam: saiba o que fazer!

Recentemente, houve uma série de relatórios sobre vazamento de dados de contas que aparecem em fóruns de crimes cibernéticos da dark web. Além disso, desde a auditoria da dark web, sugerindo que há atualmente 15 bilhões de logins roubados de 100.000 violações por aí, até o hacker distribuir 386 milhões de registros roubados gratuitamente. Nem todos esses dados terão sido hackeados, pelo menos não no sentido usual da palavra: alguns, como foi provavelmente o caso no incidente do Utah Gun Exchange, terão sido expostos por um banco de dados não seguro.

Vazamento de dados: o problema de banco de dados inseguro

Bancos de dados inseguros estão rapidamente se tornando um problema de proteção de dados tão grande que se pensa que um pesquisador de segurança vigilante está por trás da onda de ataques “Miau” que substituíram os índices de milhares desses bancos de dados. Além disso, era um banco de dados desprotegido que os pesquisadores da Comparitech, liderados por Bob Diachenko, descobriram em 1º de agosto, deixando os dados de perfil pessoal de quase 235 milhões de usuários do Instagram, TikTok e YouTube para serem obtidos.

Os dados foram espalhados por vários conjuntos de dados; o mais significativo sendo dois chegando a pouco menos de 100 milhões cada e contendo registros de perfil aparentemente retirados do Instagram. Além disso, o terceiro maior foi um conjunto de dados de cerca de 42 milhões de usuários do TikTok, seguido por pouco menos de 4 milhões de perfis de usuários do YouTube.

Dados disponibilizados

A Comparitech diz que, com base nas amostras que coletou, um em cada cinco registros continha um número de telefone ou endereço de e-mail. Cada registro também incluía pelo menos algumas, às vezes todas, as seguintes informações:

  • Nome do perfil
  • Nome verdadeiro completo
  • Foto de perfil
  • Descrição da conta

Estatísticas sobre o envolvimento do seguidor, incluindo:

  • Número de seguidores
  • Índice de comprometimento
  • Taxa de crescimento de seguidores
  • Gênero do público
  • Idade do público
  • Localização do público
  • Likes
  • Registro de data e hora da última postagem
  • Idade
  • Gênero

“A informação provavelmente seria mais valiosa para spammers e cibercriminosos que executam campanhas de phishing”, diz Paul Bischoff, editor da Comparitech. “Mesmo que os dados sejam acessíveis ao público, o fato de terem vazado em conjunto como um banco de dados bem estruturado os torna muito mais valiosos do que cada perfil seria isoladamente”, acrescenta Bischoff. Na verdade, Bischoff me disse que seria fácil para um bot usar o banco de dados para postar comentários de spam direcionados em qualquer perfil do Instagram que corresponda aos critérios, como sexo, idade ou número de seguidores.

Vazamento de dados: rastreando a origem dos dados vazados

Então, de onde todos esses dados se originaram? Os pesquisadores sugerem que as evidências, incluindo nomes de conjuntos de dados, apontavam para uma empresa chamada Deep Social. No entanto, Deep Social foi banido tanto pelo Facebook quanto pelo Instagram em 2018 depois de coletar dados de perfil de usuário. A empresa foi encerrada algum tempo depois disso.

Um porta-voz de uma empresa do Facebook me disse que “extrair informações das pessoas do Instagram é uma violação clara de nossas políticas. Revogamos o acesso do Deep Social à nossa plataforma em junho de 2018 e enviamos um aviso legal proibindo qualquer coleta de dados adicional.”

Assim que os pesquisadores encontraram o banco de dados e as pistas de sua origem, “enviamos um alerta ao Deep Social, presumindo que os dados pertenciam a eles”, disse Bischoff. Os administradores do Deep Social então encaminharam a divulgação para uma empresa de marketing de dados, influenciadora de mídia social registrada em Hong Kong, chamada Social Data. “Os dados sociais desligaram o banco de dados cerca de três horas após nosso e-mail inicial”, diz Bischoff.

Dados sociais respondem ao incidente de exposição do banco de dados

A Social Data negou qualquer conexão entre ela e o Deep Social, de acordo com o relatório da Comparitech. Também deve ficar claro que os dados vazados, os dados do perfil público das redes sociais estão disponíveis para qualquer pessoa que visite as contas dos usuários em causa. No entanto, o risco de phishing é claramente ampliado, uma vez que esse monte de perfis é coletado em um banco de dados bem estruturado. Não se sabe no momento quanto tempo o banco de dados ficou exposto sem uma senha antes da descoberta de 1º de agosto. O relatório da Comparitech aponta que: “Nossos experimentos com honeypots mostram que os hackers podem encontrar e atacar bancos de dados inseguros horas após serem expostos.”

Declaração

Entrei em contato com o Social Data, e um porta-voz forneceu a seguinte declaração:

“Coletamos dados e os enriquecemos com informações úteis adicionais exclusivamente em nome de nossos clientes de boa reputação, que os usam estritamente para os fins pretendidos. É extremamente triste que este incidente tenha ocorrido devido a uma mistura de eventos infelizes. No entanto, assim que soubemos do incidente e o consertamos imediatamente. Desde então, trabalhamos em conjunto com os especialistas em segurança da informação na auditoria de nossa infraestrutura de segurança e no aumento dos níveis necessários de segurança da informação para evitar ocorrências semelhantes no futuro. “

Um porta-voz do TikTok me disse: “O TikTok dá a mais alta prioridade à privacidade do usuário e temos políticas anti-scraping em vigor. Nossos Termos de Serviço proíbem terceiros de executar scripts automatizados para coletar informações de nossos serviços, incluindo informações de perfil público. Se identificarmos tais práticas, tomaremos medidas rápidas, incluindo buscar reparação legal. “

Também entrei em contato com o Google GOOGL + 0,8%, que, no momento da publicação, ainda estava analisando o assunto e não pôde fornecer uma declaração. Eu irei, é claro, atualizar esta história se isso mudar.

Conselhos para usuários preocupados do Instagram, TikTok e YouTube

Enquanto isso, eu aconselharia os usuários de todos os serviços afetados, Instagram, TikTok e YouTube, a ficarem especialmente alertas a golpes de phishing por e-mail ou postados como comentários de mídia social.

Enquanto isso, se sua empresa tiver bancos de dados “na nuvem”, eu recomendo fortemente que você audite as permissões de acesso e certifique-se de que não estejam abertas para quem vier procurar.

Fonte: Forbes

O que você achou do vazamento de dados? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar no botão “Canal do Telegram” no topo direito da página.