Um corretor de dados de mídia social expôs os perfis públicos de 235 milhões de usuários por meio de um banco de dados online mal configurado, de acordo com os pesquisadores.
A Comparitech se uniu a Bob Diachenko para descobrir três cópias idênticas dos dados em 1º de agosto, deixadas online sem senha ou outra autenticação necessária para acessá-los.
No total, 192 milhões de perfis foram retirados do Instagram, 42 milhões do TikTok e quatro milhões do YouTube.
Cada registro continha alguns dos seguintes: nome do perfil, nome real, foto do perfil, descrição da conta, idade, sexo e muito mais.
Cerca de um quinto dos perfis também continha um número de telefone ou endereço de e-mail, de acordo com a Comparitech.
Embora as informações pessoais contidas neste tesouro estivessem disponíveis publicamente, empresas de mídia social como o Facebook ameaçaram com ações judiciais no passado contra empresas de coleta automatizada de dados que posteriormente vendem suas coleções aos comerciantes.
A Comparitech disse que, embora o acesso ao banco de dados exposto tenha sido encerrado três horas após sua primeira divulgação, não está claro por quanto tempo as informações permaneceram online sem uma senha.
A empresa avisou que, se descoberto, o trove poderia ter sido usado por spammers ou para tornar os ataques de phishing subsequentes mais convincentes.
Os próprios dados foram rastreados até a Social Data, uma empresa que aparentemente vende dados sobre influenciadores de mídia social para profissionais de marketing. Foi difícil apontar que as informações expostas foram obtidas de perfis disponíveis publicamente, embora sua consolidação em um único banco de dados torne-o uma perspectiva mais atraente para os cibercriminosos.
A Comparitech também afirmou que a “evidência” sugere uma conexão entre os dados e uma empresa agora extinta conhecida como Deep Social, que foi removida das APIs de marketing do Facebook e Instagram em 2018 e ameaçada com uma ação legal.
Dados sociais negaram qualquer conexão entre as duas empresas, embora alguns dos conjuntos de dados originais tenham sido rotulados da seguinte forma: “accounts-deepsocial-90” e “accounts-deepsocial-91”.
Fonte: https://www.infosecurity-magazine.com/news/data-firm-exposes-235m-social
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…