Dados pessoais de +200 Milhões de usuários Facebook, Instagram e LinkedIn expostos online

Dados pessoais de +200 Milhões de usuários Facebook, Instagram e LinkedIn expostos online. Uma falha de configuração em um banco de dados causou o vazamento de mais de 400 GB de informações públicas e privadas, expondo 214 milhões de usuários do Facebook, Instagram, LinkedIn e outras redes sociais.

O vazamento, que também afetou usuários do aplicativo de rede LinkedIn, incluiu detalhes “pessoalmente identificáveis” de várias celebridades e influenciadores da lista A.

De acordo com o site Threatpost, contas de celebridades e influenciadores também foram atingidas.

O servidor, de propriedade da empresa chinesa SocialArks, estava sem proteção de senha ou criptografia, revelaram pesquisadores do Safety Detectives. A falha foi descoberta durante uma checagem de rotina em endereços IP de bancos de dados potencialmente vulneráveis. Este, em particular, continha mais de 318 milhões de registros de usuários:

A plataforma de gerenciamento de dados da SocialArks é usada para publicidade e marketing programático. Ela se autodenomina uma “empresa de gerenciamento de mídia social transfronteiriça dedicada a resolver os problemas atuais de construção de marca, marketing, marketing e gerenciamento de clientes sociais na indústria de comércio exterior da China“.

Fonte: Detetives de segurança.
 “Nosso time de pesquisadores conseguiu identificar que toda a informação vazada foi extraída de plataformas de redes sociais, o que é antiético e também uma violação dos termos de serviço do Facebook, Instagram e LinkedIn”, afirmaram os integrantes do Safety Detective, após investigar o vazamento nas redes.
Ao todo, foram detectados 11.651.162 perfis de usuários do Instagram, 66.117.839 do LinkedIn e 81.551.567 do Facebook. Outros 55.300.000 perfis da rede social de Mark Zuckerberg foram deletados horas depois que o servidor vulnerável foi descoberto.

Os dados de perfil público incluíam biografias, fotos de perfil, totais de seguidores, configurações de localização, detalhes de contato como endereços de e-mail e números de telefone, número de seguidores, número de comentários, hashtags usadas com frequência, nomes de empresas, cargo e muito mais.

Dados de mídia social extraídos para fins de marketing inevitavelmente incluirão informações confidenciais”, disse Jack Mannino, CEO da nVisium, ao Threatpost. “Para cada pessoa preocupada com a privacidade que usa a mídia social, há um número exponencialmente maior de pessoas compartilhando publicamente detalhes íntimos sobre suas vidas privadas. Para se proteger, restrinja o acesso público ao seu perfil e ativos de mídia, seja sensato sobre o que posta online e tenha cuidado com as permissões que concede a aplicativos que podem abusar, usar indevidamente ou roubar suas informações.

No entanto, além da coleta de dados disponíveis publicamente, o banco de dados também incluía, inexplicavelmente, dados privados para usuários de mídia social.

O banco de dados da SocialArks armazenava dados pessoais para usuários do Instagram e LinkedIn, como números de telefone privados e endereços de e-mail de usuários que não divulgaram essas informações publicamente em suas contas”, disseram os pesquisadores. “Como o SocialArks poderia ter acesso a esses dados em primeiro lugar permanece desconhecido … Ainda não está claro como a empresa conseguiu obter dados privados de várias fontes seguras … Além disso, o servidor da empresa tinha segurança insuficiente e foi deixado completamente inseguro.

O Threatpost disse que entrou em contato com o SocialArks para obter mais informações e o banco de dados foi protegido pela SocialArks no mesmo dia em que os Detetives de Segurança alertaram a empresa sobre o problema.

A SocialArks sofreu uma violação de dados semelhante em agosto passado, que afetou 66 milhões de usuários do LinkedIn, 11,6 milhões de contas do Instagram e 81,5 milhões de contas do Facebook – cerca de 150 milhões no total. As informações expostas também consistiam em dados disponíveis publicamente, como nomes completos, país de residência, local de trabalho, cargo, dados de assinantes e informações de contato, bem como links diretos para perfis.

Ter um repositório central para essas informações abre a porta para ataques de engenharia social automatizados de alto volume, alertaram os especialistas.

A maior parte da coleta de dados é completamente inócua e realizada por desenvolvedores da web, analistas de business intelligence, empresas honestas, como sites de reservas de viagens, além de ser realizada para fins de pesquisa de mercado online”, disseram os pesquisadores. “No entanto, mesmo que esses dados sejam obtidos legalmente – se forem armazenados sem a segurança cibernética adequada, podem ocorrer grandes vazamentos que afetam milhões de pessoas. Quando informações privadas, incluindo números de telefone, endereços de e-mail e informações de nascimento são extraídas e / ou vazadas, os criminosos têm o poder de cometer atos hediondos, incluindo roubo de identidade e fraude financeira.

Dirk Schrader, vice-presidente global da New Net Technologies, disse que o fato de a coleta ter ocorrido – informações públicas ou privadas – é por si só de interesse.

“Perfis públicos já foram raspados antes e os gigantes naquele espaço geralmente tentam bloquear as tentativas de remoção em massa, já que a intenção por trás é obter acesso ao seu ‘petróleo’”, disse ele ao Threatpost. “Por que não funcionou neste caso seria um fato interessante de saber. Como um provável usuário do LinkedIn afetado, minhas escolhas são limitadas. Aceito que isso acontecerá ou posso reduzir meu perfil, o que limita minha capacidade de fazer conexões comerciais até certo ponto. A quantidade de informações que um usuário fornece é de sua escolha. A própria extração, especialmente quando os dados coletados estão mal protegidos, aumenta a probabilidade de ser alvo de ataques específicos e e-mails indesejados ”.

Fonte: Threatpost & SocialArks

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Semana da Privacidade - Expectativas da LGPD para 2021
  2. Agenda regulatória da LGPD para o biênio 2021-2022

Deixe sua opinião!