Vazam dados de 235 milhões de perfis de usuário do Instagram, TikTok e YouTube

Vazam dados de 235 milhões de perfis de usuário do Instagram, TikTok e YouTube. Após vazamento especialistas alertaram sobre o risco de phishing. 

A Forbes publicou em 19 de agosto, que a equipe de pesquisa de segurança da Comparitech divulgou como um banco de dados inseguro deixou quase 235 milhões de perfis de usuários do Instagram, TikTok e YouTube expostos online.

Recentemente, houve uma série de relatórios sobre dados de contas que aparecem em fóruns de crimes cibernéticos da dark web, sugerindo que há atualmente 15 bilhões de logins roubados de 100.000 violações por aí,  além do que hacker distribuiu 386 milhões de registros roubados gratuitamente . Nem todos esses dados terão sido hackeados, pelo menos não no sentido usual da palavra: alguns, como foi provavelmente o caso no incidente do Utah Gun Exchange , terão sido expostos por um banco de dados não seguro.

O problema de banco de dados inseguro

Bancos de dados inseguros estão rapidamente se tornando um problema de proteção de dados tão grande que se pensa que um pesquisador de segurança vigilante está por trás da onda de ataques “Miau” que substituíram os índices de milhares desses bancos de dados. Foi em um banco de dados desprotegido que os pesquisadores da Comparitech, liderados por Bob Diachenko, descobriram em 1º de agosto, deixando os dados de perfil pessoal de quase 235 milhões de usuários do Instagram, TikTok e YouTube para serem obtidos .

Os dados foram espalhados por vários conjuntos de dados; o mais significativo sendo dois chegando a pouco menos de 100 milhões cada e contendo registros de perfil aparentemente retirados do Instagram. O terceiro maior foi um conjunto de dados de cerca de 42 milhões de usuários do TikTok, seguido por pouco menos de 4 milhões de perfis de usuários do YouTube.

Três cópias idênticas dos dados foram hospedadas em três endereços IPv6 separados. No total, cada um armazenou dados em cerca de 235 milhões de perfis de mídia social. Aqui está uma análise dos maiores conjuntos de dados:

  • 96.714.241 registros retirados do Instagram
  • 95.678.713 registros retirados do Instagram
  • 42.129.799 registros retirados do TikTok
  • 3.955.892 registros retirados do Youtube

Segundo a Forbes, a Comparitech diz que, com base nas amostras que coletou, um em cada cinco registros continha um número de telefone ou endereço de e-mail. Cada registro também incluía pelo menos algumas, às vezes todas, as seguintes informações:

  • Nome do perfil
  • Nome verdadeiro completo
  • Foto de perfil
  • Descrição da conta

Estatísticas sobre o envolvimento do seguidor, incluindo:

  • Número de seguidores
  • Índice de comprometimento
  • Taxa de crescimento de seguidores
  • Gênero do público
  • Idade do público
  • Localização do público
  • Gosta
  • Carimbo de data e hora da última postagem
  • Era
  • Gênero

A informação provavelmente seria mais valiosa para spammers e cibercriminosos que executam campanhas de phishing”, diz Paul Bischoff, editor da Comparitech. “Mesmo que os dados sejam acessíveis ao público, o fato de terem vazado em conjunto como um banco de dados bem estruturado os torna muito mais valiosos do que cada perfil seria isoladamente“, acrescenta Bischoff. Na verdade, Bischoff me disse que seria fácil para um bot usar o banco de dados para postar comentários de spam direcionados em qualquer perfil do Instagram que corresponda aos critérios, como sexo, idade ou número de seguidores.

Rastreando a origem dos dados vazados

Então, de onde todos esses dados se originaram? Os pesquisadores sugerem que as evidências, incluindo nomes de conjuntos de dados, apontavam para uma empresa chamada Deep Social. No entanto, Deep Social foi banido tanto pelo Facebook quanto pelo Instagram em 2018 depois de coletar dados de perfil de usuário. A empresa foi encerrada algum tempo depois disso.

Um porta-voz de uma empresa do Facebook me disse que “extrair informações das pessoas do Instagram é uma violação clara de nossas políticas. Revogamos o acesso do Deep Social à nossa plataforma em junho de 2018 e enviamos um aviso legal proibindo qualquer coleta de dados adicional.”

Assim que os pesquisadores encontraram o banco de dados e as pistas de sua origem, “enviamos um alerta ao Deep Social, presumindo que os dados pertenciam a eles“, disse Bischoff. Os administradores do Deep Social então encaminharam a divulgação para uma empresa de marketing de dados, influenciadora de mídia social registrada em Hong Kong, chamada Social Data. “Os dados sociais desligaram o banco de dados cerca de três horas após nosso e-mail inicial“, diz Bischoff.

Social Data respondem ao incidente de exposição do banco de dados

A Social Data negou qualquer conexão entre ela e o Deep Social, de acordo com o relatório da Comparitech. Também deve ficar claro que os dados vazados, os dados do perfil público das redes sociais estão disponíveis para qualquer pessoa que visite as contas dos usuários. No entanto, o risco de phishing é claramente ampliado, uma vez que esse monte de perfis é coletado em um banco de dados bem estruturado. Não se sabe no momento quanto tempo o banco de dados ficou exposto sem uma senha antes da descoberta de 1º de agosto. O relatório da Comparitech aponta que: “Nossos experimentos com honeypots mostram que os hackers podem encontrar e atacar bancos de dados inseguros horas após serem expostos.

A Forbes entrou em contato com o Social Data, e um porta-voz forneceu a seguinte declaração:

Coletamos dados e os enriquecemos com informações úteis adicionais exclusivamente em nome de nossos clientes de boa reputação, que os usam estritamente para os fins pretendidos. É extremamente triste que este incidente tenha ocorrido devido a uma mistura de eventos infelizes. No entanto, assim que soubemos do incidente o consertamos imediatamente. Desde então, trabalhamos de perto com os especialistas em segurança da informação na auditoria de nossa infraestrutura de segurança e no aumento dos níveis necessários de segurança da informação para evitar ocorrências semelhantes no futuro.

Web scraping é uma tarefa automatizada que copia dados e informações de páginas da web em massa. Embora o Social Data insista que apenas colete o que é publicamente acessível, a prática vai contra os termos de uso do Facebook, Instagram, TikTok e Youtube. Os scraping bots automatizados podem ser difíceis de distinguir dos visitantes normais do site, portanto, as empresas de mídia social têm dificuldade em impedir que acessem perfis de usuário até que seja tarde demais.

exemplo 2 da conta do instagram
fonte Comparitech: Exemplo que mostra quais dados podem ser extraídos de um perfil do Instagram

Um porta-voz da Social Data disse a Diachenko em um e-mail: “Por favor, observe que a conotação negativa de que os dados foram hackeados implica que as informações foram obtidas clandestinamente. Isso simplesmente não é verdade, todos os dados estão disponíveis gratuitamente para QUALQUER PESSOA com acesso à Internet. Eu apreciaria se você pudesse garantir que isso fique claro. Qualquer pessoa pode fazer phishing ou entrar em contato com qualquer pessoa que indique telefone e e-mail na descrição de seu perfil de rede social da mesma forma, mesmo sem a existência do banco de dados. […] As próprias redes sociais expõem os dados a estranhos – esse é o seu negócio – redes e perfis públicos abertos. Os usuários que não desejam fornecer informações tornam suas contas privadas. [sic] ”

Um porta-voz da TikTok me disse: “A TikTok dá a mais alta prioridade à privacidade do usuário e temos políticas anti-scraping em vigor. Nossos Termos de Serviço proíbem terceiros de executar scripts automatizados para coletar informações de nossos serviços, incluindo informações de perfil público. Se identificarmos tais práticas, tomaremos medidas rápidas, incluindo buscar reparação legal.

Enquanto isso, a Forbes aconselha que os usuários de todos os serviços afetados, Instagram, TikTok e YouTube, a ficarem especialmente alertas a golpes de phishing por e-mail ou postados como comentários de mídia social.

Enquanto isso, se sua empresa tiver bancos de dados “na nuvem“, recomenda-se fortemente que você audite as permissões de acesso e certifique-se de que não estejam abertas para quem vier procurar. 

 

Fonte : Forbes & Comparitech

 

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. 350 milhões de endereços de e-mail descriptografados deixados expostos

Deixe sua opinião!