Un database contenente i dati di quasi 235 milioni di utenti di Instagram, TikTok e YouTube è stato esposto senza essere protetto da password o altre tecnologie di sicurezza. Conteneva importanti dati sugli utenti come nomi, informazioni di contatto, immagini e statistiche sui follower.
Colpevole dell’accaduto, Social Data, una società di analisi dei social media che sarebbe stata accusata di aver venduto i dati da essa raccolti. Bob Diachenko, un ricercatore di sicurezza informata che lavora per conto di Comparitech, ha infatti rinvenuto ben tre copie del database di proprietà di Deep Social, una società non più attiva sul mercato. Quando il team di Bob Diachenko ha provato a mettersi in contatto con la società, questa richiesta è stata inoltrata proprio alla Social Data di Honk Kong. Quest’ultima ha negato di avere un qualche collegamento con la Deep Social, ma ha comunque preso atto della violazione e chiuso l’accesso al database.
Instagram, TikTok e YouTube: violati i dati di oltre 200 milioni di utenti
In una dichiarazione, il portavoce dell’azienda ha affermato che tutti i dati raccolti erano pubblici e non sono stati raccolti in modo sospetto: Si prega di notare che la connotazione negativa che i dati siano stati violati implica che le informazioni sono state ottenute di nascosto. Questo semplicemente non è vero, tutti i dati sono disponibili gratuitamente a CHIUNQUE con accesso a Internet.
Stando a quanto riferito dal portavoce, la società è riuscita ad impadronirsi di quelle informazioni raccogliendole da profili visibili pubblicamente. Ciò lascia intuire che la società abbia raccolto i dati automaticamente utilizzando una pratica chiamata scraping dei dati. Questa, sebbene legale negli Stati Uniti, è in realtà una pratica che quasi tutte le piattaforme online vietano e rendono esplicito questo divieto attraverso i termini di utilizzo.
I dati raccolti includevano, in alcuni casi, anche i numeri telefonici e le e-mail associate ad un determinato profilo, per cui le persone che sono riuscite ad accedere al database potrebbero utilizzare queste informazioni per attività di spam e phishing. Nello specifico, sarebbero stati esposti i seguenti dati:
- Nome del profilo
- Nome reale completo
- Foto profilo
- Descrizione dell’account
- Se il profilo appartiene a un’azienda o contiene annunci pubblicitari
- Statistiche sul coinvolgimento dei follower, come:
- Numero di follower
- Tasso di coinvolgimento
- Tasso di crescita dei follower
- Sesso del pubblico
- Età del pubblico
- Posizione del pubblico
- Like
- Età
- Genere