Firma, która sprzedaje dane o influencerach społecznościowych pozostawionym marketerom niezabezpieczona baza danych informacji pobranych z 235 milionów kont Instagram, TikTok i YouTube ujawnionych w sieci bez jakiejkolwiek formy hasła lub innych środków uwierzytelniania wymaganych do uzyskania do nich dostępu, co rodzi pytania dotyczące etyki przeglądanie publicznie dostępnych danych.
Tak twierdzi Bob Diachenko z Comparitech’s zespół badawczy ds. cyberbezpieczeństwa, który na początku sierpnia odkrył trzy identyczne kopie zbiorów danych dostępnych w publicznym Internecie.
Dane obejmowały prawie 200 milionów rekordów z Instagrama w dwóch oddzielnych zestawach, 42 miliony rekordów TikTok i cztery miliony rekordów YouTube. Zawierał nazwy profili, prawdziwe imiona, zdjęcia profilowe, opisy kont, status profilu, statystyki zaangażowania obserwujących oraz wiek i płeć właściciela konta. Diachenko powiedział, że znaczna liczba zapisów zawierała również dane kontaktowe, takie jak numery telefonów i adresy e-mail
Incydent rodzi poważne pytania dotyczące etyki brokerów danych oraz sposobu, w jaki dane, które użytkownicy mediów społecznościowych umieszczają na swoich kontach, są usuwane, wykorzystywane i przeszukiwane.
Dochodzenie Diachenko początkowo wydawało się sugerować, że dane pochodzą od firmy o nazwie Deep Social, której dwa lata temu zakazano dostępu do marketingowych interfejsów API Facebooka i Instagrama i grożono jej podjęciem kroków prawnych, jeśli nadal będzie angażować się w praktykę kopiowania danych i informacji z mediów społecznościowych. profile mediów, co jest sprzeczne z warunkami korzystania z usług wszystkich platform, których to dotyczy.
Jednak kiedy skontaktowano się z Deep Social, jej administratorzy przekazali ujawnienie innej firmie o nazwie Social Data, której dyrektor ds. Technologii potwierdził ekspozycję, a następnie usunęli serwery w ciągu kilku godzin.
W e-mailach do Diachenko Social Data podkreślał, że nie uzyskał informacji potajemnie i że dane te były swobodnie dostępne dla każdego, kto ma dostęp do internetu, nawet licząc bez jego działań, ponieważ informacje były publicznie dostępne na samych platformach mediów społecznościowych .
Otwarcie śluzy
Niemniej jednak, napisał Paul Bischoff z firmy Comparitech na blogu informacyjnym, informacje są nadal podatne na spam i kampanie marketingowe, a użytkownicy platform powinni zwracać uwagę na oszustwa lub wiadomości phishingowe.
„Mimo, że informacje są publicznie dostępne, rozmiar i zakres zagregowanej bazy danych sprawia, że jest ona bardziej podatna na masowe ataki niż w izolacji” – powiedział.
Oprócz dostarczania przydatnych informacji do kampanii phishingowych, powiedział Bischoff, istnieją inne zagrożenia dla użytkowników, których dotyczą. Na przykład, powiedział, obrazy i dane znanych influencerów mogą zostać wykorzystane do tworzenia fałszywych, imitowanych kont w celu zwabienia obserwujących i promowania oszustw lub dezinformacji, lub ich zdjęcia mogą posłużyć do trenowania algorytmów rozpoznawania twarzy – tak jak to zrobiła firma o nazwie ClearView AI, czyli w obliczu działań prawnych z powodu nieetycznych praktyk.
Comforte AG Mark Bower, starszy wiceprezes i specjalista ds. Bezpieczeństwa danych, powiedział, że chociaż ujawnione dane były w większości publicznie dostępne, gdyby wpadły w ręce cyberprzestępców, mogłyby zostać użyte jako przyspieszacz ataków ukierunkowanych, aby uzyskać więcej cenne informacje.
„Konkretne dane osobowe pozwalają na bardziej efektywne spear phishing zaatakować przedsiębiorstwo obarczone wyższym ryzykiem, danymi o wyższej wartości ”- powiedział. „Najważniejsze jest to, że przedsiębiorstwa muszą zarówno chronić swoje dane osobowe, aby zneutralizować je przed ryzykiem kradzieży i zdrapania, jak i zapewnić, że pracownicy nie stają się wektorem exploitów ze strony napastników, którzy mają na sobie dane bardziej przydatne do wykorzystania społecznego niż firmom, którym podlegają ”.
Chris DeRamus, wiceprezes ds. Technologii w Jednostka bezpieczeństwa chmury Rapid7, dodał: „Podczas gdy większość danych użytkowników w tym wycieku była publicznie dostępna w profilach użytkowników, ryzyko phishingu jest większe z powodu dużej akumulacji danych użytkowników zebranych w ujawnionych bazach danych. 235 milionów użytkowników mediów społecznościowych jest narażonych na ryzyko sprzedaży ich informacji w ciemnej sieci z powodu niezabezpieczonych baz danych, jednego z najpowszechniejszych, ale łatwych do uniknięcia zagrożeń bezpieczeństwa.
„Firmy muszą stosować narzędzia bezpieczeństwa, które są w stanie wykrywać i naprawiać błędne konfiguracje (takie jak niezabezpieczone bazy danych bez hasła) w czasie rzeczywistym lub jeszcze lepiej – przede wszystkim zapobiegając ich wystąpieniu”.
Użyteczność a bezpieczeństwo
Gurucul Dyrektor generalny Saryu Nayyar powiedział, że ten incydent przemawia do odwiecznej zagadki dla użytkowników mediów społecznościowych – wyzwania polegającego na znalezieniu równowagi między ich zdolnością do efektywnego korzystania z platformy a ich własną higieną bezpieczeństwa cybernetycznego.
„Musimy założyć, że nasze informacje uciekną przed osobami trzecimi, więc jak mało informacji możemy ujawnić i nadal korzystać z usług mediów społecznościowych, na których polegaliśmy? Przynajmniej warto oddzielić adresy i informacje, które kojarzymy z naszymi krytycznymi kontami, takimi jak bankowość lub służba zdrowia, od naszych działań stricte towarzyskich. Dzięki temu kompromis jednego nie prowadzi do bezpośredniego kompromisu drugiego ”- powiedział Nayyar.
Chloe Messdaghi, Bezpieczeństwo punktu 3 wiceprezes ds. strategii powiedział, że incydent pokazał, jak ważne jest, aby ludzie zrozumieli, jak działa skrobanie danych i jak naraża ich na ryzyko.
„Zasadniczo chodzi o wykorzystywanie danych osobowych bez pozwolenia dla zysku” – powiedziała. „Jest to działanie sprzeczne z prawem do prywatności jednostki i stawia wszystkich tych, których dane są zdrapywane, w znacznie zwiększonym ryzyku ataku ze strony phisherów. Firmy zbierające dane, być może nieumyślnie, wspierają złośliwych aktorów i umożliwiają cyberprzestępcom robienie tego, co robią.
„Hakerzy przestrzegają warunków serwisów społecznościowych, ale firmy zbierające dane i złośliwi aktorzy tego nie robią – jednak firmy te są nieuregulowane i nie ponoszą żadnych konsekwencji” – powiedział Messdaghi.
„Skrobaki danych wygodnie mówią, że dane, które zgarniają, są publiczne, ale pomijają to, że serwisy społecznościowe mają warunki, które skrobaki zwykle ignorują…. Oczywiście w przypadku skrobania dane osobowe, które powierzamy jednej platformie, nie pozostają na tej platformie – pomimo własnych zasad witryny ”.
Ostatecznie, aby uniknąć narażania danych na ryzyko na platformie mediów społecznościowych, najlepszą opcją jest nie korzystanie w ogóle z platformy – jeśli nie jest to opcja, z którą możesz się zmierzyć, następną najlepszą opcją jest jak najściślejsze zablokowanie profilu , jak Social Data, firma będąca w centrum tego incydentu, powiedziała sama w swojej odpowiedzi dla Comparitech.
„Sieci społecznościowe same udostępniają dane osobom z zewnątrz – to jest ich biznes – otwierają publiczne sieci i profile. Użytkownicy, którzy nie chcą podawać informacji, określają swoje konta jako prywatne [sic]- powiedziała firma.
