Детальніше. В мережу потрапили дані майже 190 млн користувачів Instagram, 42 млн користувачів TikTok та майже 4 млн даних користувачів YouTube. Дані включали імена, контактну інформацію, особисті дані, зображення та статистику про підписників.
Дослідник у галузі безпеки Боб Дьяченко, який керує групою дослідження кібербезпеки компанії Comparitech, 1 серпня виявив 3 ідентичні копії виставлених даних. Факти свідчать про те, що більша частина даних була отримана від компанії Deep Social, яка більше не існує.
Дяченко зв’язався з цією компанією. Адміністратори направили його повідомлення у Social Data. ЇЇ технічний директор визнав факт розголошення даних, а сервери, на яких вони були розміщені були видалені через 3 години.
У 2018 році Facebook та Instagram відібрала у Deep Social доступ до свого API (інтерфейсу прикладного програмування). Після цього компанія припинила свою роботу.
Цитата. Прессекретар компанії Facebook Стефані відповіла в електронному листі до Comparitech: «Збирання даних про людей з Instagram є явним порушенням нашої політики. Ми перестали надавати доступ Deep Social до нашої платформи в червні 2018 року та відправили юридичне повідомлення, яке забороняє будь-який збір даних».
На думку редактора Comparitech Пола Бішоффа, ця інформація буде найбільш цінною для спамерів і кіберзлочинців, які проводять фішингові кампанії (форма кібератаки, під час якої злочинець намагається завойовувати довіру до жертви для виманювання конфіденційної інформації).
Що таке веб-збирання даних?
Веб-скрапінг або веб-збирання є автоматизованою задачею, яка копіює дані та інформацію з вебсторінок. Хоча Social Data наголошує на тому, що вона збирає лише ті дані, які є у вільному доступі, ця практика суперечить правилам користування Facebook, Instagram, TikTok та Youtube. Автоматичних ботів складно відрізнити від звичайних відвідувачів, тому компаніям соціальних мереж складно заборонити їм отримати доступ до профілів користувачів.
Чому розголошення даних є небезпечним?
Попри те, що інформація загальнодоступна, розмір та масштаб бази даних робить її більш незахищеними до масових атак. Користувачі Instagram та TikTok мають бути в курсі шахрайства та фішингових повідомлень, які їм відправляють в особисті повідомлення або пишуть в коментарях.
Зображення та інші дані профілів можуть використовуватися для створення фейкових сторінок. Ці аккаунти заманюють підписників, а потім дезінформують їх. Фото також можуть бути використані без дозволу власників з метою розпізнавання облич.
Facebook та інші соціальні мережі використовували як юридичні, так і технічні способи зупинення зчитування профілів користувачів, але ця практика не припинилася.
Що ще варто знати про збір даних користувачів соціальних мереж
- Instagram звинувачують у незаконному зборі біометричних даних. Проти Facebook подали колективний позов, у якому звинувачують компанію у зборі біометричних даних людей без їх відома. Сума штрафу за порушення законодавства може сягнути $500 млрд дол.
- Дані мільйонів користувачів Telegram опинилися в даркнеті. Базу з номерами телефонів, нікнеймами та унікальними ідентифікаторами мільйонів людей виклали на одному з форумів у даркнеті.
- Дані пів мільйона акаунтів Zoom виявили у даркнеті. Серед персональної інформації, яку продають у даркнеті менше, ніж за цент, можна знайти електронні адреси користувачів, їхні паролі, URL особистого чату, а також шестизначний пін-код адміністратора, який дозволяє керувати відеоконференцією у Zoom.