Una empresa que vende datos sobre personas influyentes en las redes sociales a los especialistas en marketing dejó una base de datos no segura de información extraída de 235 millones de cuentas de Instagram, TikTok y YouTube expuestas en la web sin ningún tipo de contraseña u otras medidas de autenticación necesarias para acceder a ella, lo que genera dudas sobre la ética de raspando datos disponibles públicamente.
Esto es según Bob Diachenko de Comparitech’s equipo de investigación de seguridad cibernética, que descubrió tres copias idénticas de los conjuntos de datos accesibles desde la Internet pública a principios de agosto.
Los datos comprendían casi 200 millones de registros de Instagram en dos conjuntos separados, 42 millones de registros de TikTok y cuatro millones de registros de YouTube. Incluía nombres de perfil, nombres reales, fotos de perfil, descripciones de la cuenta, estado del perfil, estadísticas de participación de los seguidores y la edad y el sexo del titular de la cuenta. Diachenko dijo que una cantidad significativa de los registros también contenían detalles de contacto, como números de teléfono y direcciones de correo electrónico.
El incidente plantea serias dudas sobre la ética de los corredores de datos y cómo los datos que los usuarios de las redes sociales ponen en sus cuentas se extraen, utilizan y comparan.
Al principio, la investigación de Diachenko pareció sugerir que los datos provenían de una empresa llamada Deep Social, que fue prohibida en las API de marketing de Facebook e Instagram hace dos años y amenazada con acciones legales si continuaba participando en la práctica de copiar datos e información de redes sociales. perfiles de medios, lo que va en contra de los términos de servicio de todas las plataformas en cuestión.
Sin embargo, cuando se contactó con Deep Social, sus administradores enviaron la divulgación a una empresa diferente llamada Social Data, cuyo director de tecnología reconoció la exposición y posteriormente eliminó los servidores en un par de horas.
En correos electrónicos a Diachenko, Social Data insistió en que no había obtenido la información de manera subrepticia y que los datos en cuestión habían estado disponibles gratuitamente para cualquier persona con acceso a Internet, incluso sin considerar sus actividades, porque la información estaba disponible públicamente en las propias plataformas de redes sociales. .
Abriendo las compuertas
Sin embargo, escribió Paul Bischoff de Comparitech en un blog de divulgación, la información sigue siendo vulnerable al spam y las campañas de marketing, y los usuarios de las plataformas deben estar atentos a las estafas o los mensajes de phishing.
“Aunque la información está disponible públicamente, el tamaño y el alcance de una base de datos agregada la hace más vulnerable a un ataque masivo de lo que sería aisladamente”, dijo.
Además de proporcionar información útil para las campañas de phishing, dijo Bischoff, existen otros riesgos para los usuarios afectados. Por ejemplo, dijo, las imágenes y los datos de personas influyentes de alto perfil podrían usarse para crear cuentas falsas de imitación para atraer seguidores y promover estafas o desinformación, o sus fotos podrían usarse para entrenar algoritmos de reconocimiento facial, como lo hizo una empresa llamada ClearView AI, que enfrenta acciones legales por sus prácticas poco éticas.
Comforte AG’s Mark Bower, vicepresidente senior y especialista en seguridad de datos, dijo que aunque los datos expuestos estaban en su mayor parte a disposición del público, si hubieran caído en manos de los ciberdelincuentes, podrían utilizarse como acelerador de ataques dirigidos para obtener más Información valiosa.
“Los datos personales específicos permiten spear phishing para atacar una empresa con datos de mayor valor y riesgo ”, dijo. “La conclusión aquí es que las empresas deben proteger sus propios datos personales para neutralizarlos del riesgo de robo y raspado, y asegurarse de que los empleados no se conviertan en el vector de vulnerabilidades de los atacantes que tienen más datos socialmente explotables que los empresas a las que informan «.
Chris DeRamus, vicepresidente de tecnología de Unidad de seguridad en la nube de Rapid7, agregó: “Si bien la mayoría de los datos de los usuarios en esta filtración estaban disponibles públicamente en los perfiles de los usuarios, el riesgo de phishing se amplifica debido a la gran acumulación de datos de usuarios recopilados en las bases de datos expuestas. 235 millones de usuarios de redes sociales corren el riesgo de que su información se venda en la web oscura debido a bases de datos no seguras, uno de los riesgos de seguridad más comunes pero fácilmente prevenibles.
«Las empresas deben emplear herramientas de seguridad que sean capaces de detectar y corregir configuraciones incorrectas (como bases de datos que no estén protegidas sin contraseña) en tiempo real, o mejor aún, evitando que sucedan en primer lugar».
Usabilidad versus seguridad
Gurucul El CEO Saryu Nayyar dijo que este incidente hablaba de un enigma antiguo para los usuarios de las redes sociales: el desafío de lograr un equilibrio entre su capacidad para usar la plataforma de manera efectiva y su propia higiene de seguridad cibernética.
“Tenemos que asumir que nuestra información escapará de terceros, entonces, ¿qué poca información podemos exponer y seguir utilizando los servicios de redes sociales en los que confiamos? Como mínimo, vale la pena separar las direcciones y la información que asociamos con nuestras cuentas críticas, como la banca o la salud, de nuestras actividades estrictamente sociales. Eso evita que un compromiso de uno lleve a un compromiso directo del otro ”, dijo Nayyar.
Chloé Messdaghi, Seguridad Point3 vicepresidente de estrategia, dijo que el incidente demostró lo importante que es que las personas comprendan cómo funciona el scraping de datos y cómo los pone en riesgo.
«Es esencialmente el uso de información personal sin permiso, con fines de lucro», dijo. “Es un acto en contra de los derechos de privacidad del individuo y pone a todos aquellos cuyos datos se raspan en un riesgo mucho mayor de ataques de phishers. Las empresas de extracción de datos, quizás de forma involuntaria, apoyan a los actores malintencionados y permiten a los ciberdelincuentes hacer lo que hacen.
“Los piratas informáticos respetan los términos y condiciones de los sitios de redes sociales, pero las empresas de extracción de datos y los actores malintencionados no lo hacen; sin embargo, estas empresas no están reguladas y no enfrentan consecuencias”, dijo Messdaghi.
“Los recopiladores de datos dicen convenientemente que los datos que recopilan son públicos, pero ignoran que los sitios de redes sociales tienen términos y condiciones que los raspadores tienden a ignorar…. Claramente, cuando se trata de scraping, los datos personales que confiamos a una plataforma no permanecen en esa plataforma, a pesar de las propias políticas del sitio «.
En última instancia, para evitar poner en riesgo sus datos en una plataforma de redes sociales, la mejor opción es no usar la plataforma en absoluto; si esta no es una opción que pueda enfrentar, la siguiente mejor opción es bloquear su perfil lo más estrictamente posible. , como dijo Social Data, la empresa en el centro de este incidente, en su respuesta a Comparitech.
“Las propias redes sociales exponen los datos a personas externas – ese es su negocio – redes y perfiles públicos abiertos. Aquellos usuarios que no deseen brindar información, hagan sus cuentas privadas [sic]”, Dijo la firma.