14

Przerażający wyciek danych. 235 milionów kont z Instagrama, YouTube i TikTok poszło w internet

To kolejny dowód na to, że teraz równie ważne jak złoto czy ropa są dane. Ktoś zebrał i skatalogował w niezabezpieczonej bazie dane na temat 235 milionów użytkowników serwisów Instagram, YouTube oraz TikTok. Co Wy na to?

Co jest gorsze od tego, że korporacje starają się zebrać o nas wszelkie możliwe informacje? Sytuacja w której to wszystko wycieka do sieci. Z tą niemiłą informacją muszą pogodzić się użytkownicy serwisów: Instagram, YouTube oraz TikTok. Co gorsza wyciek był spowodowany m.in. tym, że dane te przechowywane były w niezabezpieczonej bazie danych do której niemal każdy mógł się dostać. Ale zaraz, przecież mowa jest o trzech konkurujących ze sobą portalach społecznościowych, więc jak mogła to być pojedyncza baza? Już wyjaśniam.

Wina po stronie osób trzecich

Na wstępie należy zaznaczyć, że dane nie zostały wykradzione bezpośrednio z zasobów Instagrama, YouTuba czy TikToka. Wyciek jest efektem procederu o nazwie web scraping. W teorii to nic nielegalnego, cała działalność opiera się o zbieranie (w sposób automatyczny) danych o wskazanej osobie z różnych stron i źródeł dostępnych w internecie. Więc patrząc na to realnie, można zebrać o nas tylko to na co sami pozwalamy, aby było zebrane. W praktyce oznacza to, że o większości użytkowników tych portali ilość danych jakie da się wyszukać może być wręcz oszałamiająca.  Web scraping jako taki nie jest niczym złym jednak poszczególne portale społecznościowe w swoich regulaminach zastrzegają, że nie wolno tego robić na bazie ich użytkowników ze względu na kwestie ich prywatności i bezpieczeństwa.

Zgodnie z raportem firmy Comparitech, której zespół poinformował o wycieku, potwierdza się to, że przy odrobinie złej woli można wyciągnąć naprawdę dużo wiedzy na nasz temat. Tylko zobaczcie co można było znaleźć we wspomnianej bazie:

  • nazwa profilu
  • imię i nazwisko
  • zdjęcie profilowe
  • opis profilu
  • liczbę osób, które nas obserwują
  • poziom zaangażowania naszej społeczności
  • współczynnik wzrostu
  • informacje statystyczne dotyczące osób, które nas obserwują w tym dane na temat płci, wieku, lokacji
  • informacje o tym co i kiedy postowaliśmy
  • nasz wiek oraz płeć

Można z tego zbudować naprawdę solidny profil danej osoby i wykorzystać np. do akcji phishingowej, bo właśnie to Comparitech wskazuje jako główne zagrożenie.

Skąd cała afera? Deep Social

Jak już pisałem za informacje o wycieku odpowiada firma Comparitech, a konkretnie Bob Diachenko, którego zespół natknął się na ten dane 1 sierpnia tego roku. Dane były rozrzucone w kilku niezależnych od siebie zbiorach, ale ich agregacja i uporządkowanie ze względu na brak jakichkolwiek zabezpieczeń, nie stanowi większego problemu dla osoby obeznanej z tematem.

Zespół Diachenki postanowił dojść do tego kto te dane zebrał i przez kogo cały wyciek ma miejsce. W momencie pisania tego artykułu nie trafiłem na niepodważalne potwierdzenie, ale wszystkie nitki prowadzą do firmy Deep Social, która co ciekawe, w 2018 roku dostała bana od Facebooka i Instagrama właśnie za web scraping. Z kolei od nich Comparitech dotarła do zarejestrowanej w Hong Kongu firmy Social Data, która w odpowiedzi na oficjalne pismo odcina się od łączenia jej zarówno ze wspomnianą bazą jak i przyczynieniem się do wycieku opisywanego wycieku danych.

Jaki z tego morał?

Nikt nie zadba o nasze bezpieczeństwo w sieci tak dobrze jak my sami. Trzeba być świadomym tego co się umieszcza i jakie są konsekwencje publikowania swoich danych w internecie. Podchodźmy do tematu z głową. Jako, że wyciek dotyczy blisko 235 milionów kont istnieje realne prawdopodobieństwo, że ty czy ja jesteśmy na tej liście dlatego zgodnie z zaleceniami firmy Comparitech sugeruje ze zdwojoną uwagą przyglądać się wszystkim mailom od nieznanych adresatów jakie dostajemy bo natężenie akcji phishingowych może znacznie wzrosnąć.