Um corretor de dados de mídia social expôs os perfis públicos de 235 milhões de usuários por meio de um banco de dados online mal configurado, de acordo com os pesquisadores.
A Comparitech se uniu a Bob Diachenko para descobrir três cópias idênticas dos dados em 1º de agosto, deixadas online sem senha ou outra autenticação necessária para acessá-los.
No total, 192 milhões de perfis foram retirados do Instagram, 42 milhões do TikTok e quatro milhões do YouTube.
Cada registro continha alguns dos seguintes: nome do perfil, nome real, foto do perfil, descrição da conta, idade, sexo e muito mais.
Cerca de um quinto dos perfis também continha um número de telefone ou endereço de e-mail, de acordo com a Comparitech.
Embora as informações pessoais contidas neste tesouro estivessem disponíveis publicamente, empresas de mídia social como o Facebook ameaçaram com ações judiciais no passado contra empresas de coleta automatizada de dados que posteriormente vendem suas coleções aos comerciantes.
A Comparitech disse que, embora o acesso ao banco de dados exposto tenha sido encerrado três horas após sua primeira divulgação, não está claro por quanto tempo as informações permaneceram online sem uma senha.
A empresa avisou que, se descoberto, o trove poderia ter sido usado por spammers ou para tornar os ataques de phishing subsequentes mais convincentes.
Os próprios dados foram rastreados até a Social Data, uma empresa que aparentemente vende dados sobre influenciadores de mídia social para profissionais de marketing. Foi difícil apontar que as informações expostas foram obtidas de perfis disponíveis publicamente, embora sua consolidação em um único banco de dados torne-o uma perspectiva mais atraente para os cibercriminosos.
A Comparitech também afirmou que a “evidência” sugere uma conexão entre os dados e uma empresa agora extinta conhecida como Deep Social, que foi removida das APIs de marketing do Facebook e Instagram em 2018 e ameaçada com uma ação legal.
Dados sociais negaram qualquer conexão entre as duas empresas, embora alguns dos conjuntos de dados originais tenham sido rotulados da seguinte forma: “accounts-deepsocial-90” e “accounts-deepsocial-91”.
Fonte: https://www.infosecurity-magazine.com/news/data-firm-exposes-235m-social
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…