A equipe de pesquisa de segurança da empresa Comparitech divulgou em 19/8 como um banco de dados inseguro deixou quase 235 milhões de perfis de usuários do Instagram, TikTok e YouTube expostos.
Os dados foram espalhados por vários conjuntos de dados. O mais significativo sendo dois chegando a pouco menos de 100 milhões cada e contendo registros de perfil aparentemente retirados do Instagram. O terceiro maior foi um conjunto de dados de cerca de 42 milhões de usuários do TikTok, seguido por pouco menos de 4 milhões de perfis de usuários do YouTube.
A Comparitech diz que, com base nas amostras que coletou, um em cada cinco registros continha um número de telefone ou endereço de e-mail. Cada registro também incluía pelo menos algumas, às vezes todas, das seguintes informações:
- Nome do perfil
- Nome verdadeiro completo
- Foto de perfil
- Descrição da conta
Estatísticas sobre engajamento dos seguidores, incluindo:
- Número de seguidores
- Índice de comprometimento
- Taxa de crescimento de seguidores
- Gênero da audiência
- Idade da audiência
- Localização da audiência
- Likes
- Carimbo de data e hora da última postagem
- Idade
- Gênero
“A informação provavelmente seria mais valiosa para spammers e cibercriminosos que executam campanhas de phishing”, diz Paul Bischoff, editor da Comparitech.
“Mesmo que os dados sejam acessíveis ao público, o fato de terem vazado em conjunto como um banco de dados bem estruturado os torna muito mais valiosos do que cada perfil seria isoladamente”, acrescenta Bischoff.
Na verdade, Bischoff afirma que seria fácil para um bot usar o banco de dados para postar comentários de spam direcionados em qualquer perfil do Instagram que corresponda aos critérios, como sexo, idade ou número de seguidores.
Um porta-voz do TikTok envio nota afirmando:
“O TikTok dá a mais alta prioridade à privacidade do usuário e temos políticas anti-scraping em vigor. Nossos Termos de Serviço proíbem terceiros de executar scripts automatizados para coletar informações de nossos serviços, incluindo informações de perfil público. Se identificarmos tais práticas, tomaremos medidas rápidas, incluindo buscar reparação legal.”
Conselhos para usuários preocupados do Instagram, TikTok e YouTube
Enquanto isso, o conselho aos usuários de todos os serviços afetados, Instagram, TikTok e YouTube, é ficar especialmente alertas a golpes de phishing por e-mail ou postados como comentários de mídia social.
Enquanto isso, se sua empresa tiver bancos de dados “na nuvem”, a recomendação é realizar uma auditoria e as permissões de acesso e certificar-se de que não estejam abertas para quem vier procurar. A empresa Elastic tem um excelente guia para proteger implantações de Elasticsearch.
Leia a matéria completa em: https://bit.ly/328ylmA