Des chercheurs en sécurité ont découvert une base de données exposée en ligne qui contient des données extraites des profils de médias sociaux de près de 235 millions d'utilisateurs Instagram, TikTok et YouTube.
Pour ceux qui ne connaissent pas cette pratique, le web scraping est une technique automatisée utilisée pour collecter des données à partir de sites Web qui est souvent utilisée par des sociétés d'analyse qui l'utilisent pour créer de grandes bases de données d'informations sur les utilisateurs. Bien que cette pratique soit légale, elle est strictement interdite par les sociétés de médias sociaux car elle met en danger la vie privée de leurs utilisateurs et leurs données.
Chercheur principal de Comparitech Bob Diachenko a découvert trois copies identiques de la base de données exposée en ligne au début du mois d'août. Après avoir examiné la base de données, Diachenko et son équipe ont appris qu'elle appartenait à une société appelée Deep Social qui avait fermé ses opérations.
Lorsque l'équipe a contacté la société aujourd'hui disparue, sa demande a été transmise à une société basée à Hong Kong appelée Social Data. Bien que Social Data ait nié avoir une connexion à Deep Social, l'entreprise a reconnu la violation et a pu sécuriser la base de données exposée avec un mot de passe.
Dans un e-mail adressé à Diachenko inclus dans le billet de blog de Comparitech sur le sujet, Social Data a tenté de défendre la pratique du web scraping tout en faisant également valoir que la base de données, qui a été laissée en ligne sans mot de passe pour la sécuriser, n'a pas été piratée, en disant:
«Veuillez noter que la connotation négative selon laquelle les données ont été piratées implique que les informations ont été obtenues subrepticement. Ce n'est tout simplement pas vrai, toutes les données sont disponibles gratuitement à TOUTE PERSONNE ayant accès à Internet. Je vous serais reconnaissant si vous pouviez vous assurer que cela est clair. N'importe qui peut hameçonner ou contacter toute personne qui indique le téléphone et l'email sur la description de son profil de réseau social de la même manière même sans l'existence de la base de données. Les réseaux sociaux eux-mêmes exposent les données à des tiers – c'est leur métier – des réseaux et des profils publics ouverts. Les utilisateurs qui ne souhaitent pas fournir d'informations rendent leur compte privé. »
Diachenko et son équipe ont découvert trois copies identiques de la base de données qui étaient hébergées à trois adresses IPV6 distinctes. Sur près de 235 millions de profils de médias sociaux dans la base de données, 191 millions d'enregistrements ont été extraits d'Instagram, 42 millions de TikTok et près de 4 millions de YouTube.
Chacune des entrées de la base de données contient une mine d'informations sur les utilisateurs de ces services dont les données ont été récupérées, y compris leur nom de profil, leur vrai nom, leur photo de profil, leur âge, leur sexe, leurs statistiques d'engagement, etc.
Bien qu'il ne soit pas illégal de récupérer les données des utilisateurs sur les sites de médias sociaux, ne pas sécuriser ces données après leur collecte présente un risque sérieux pour les utilisateurs concernés, car les cybercriminels pourraient utiliser les informations de la base de données pour les cibler en ligne.
Via le prochain Web