Un courtier de données sur les réseaux sociaux expose près de 235 millions de profils récupérés sur Instagram, TikTok et Youtube

Social Data Trading Limited, une société qui vend des données sur les influenceurs des réseaux sociaux aux spécialistes du marketing, a exposé une base de données de près de 235 millions de profils de réseaux sociaux sur le Web sans mot de passe ni aucune autre authentification requise pour y accéder, selon un nouveau rapport de Comparitech. des chercheurs. Les données comprenaient une multitude d'informations, notamment des noms, des coordonnées, des informations personnelles, des images et des statistiques sur les abonnés.

Les profils ont été extraits de pages de réseaux sociaux accessibles au public sur Youtube, TikTok et Instagram. Le chercheur en sécurité Bob Diachenko, qui dirige l’équipe de recherche sur la cybersécurité de Comparitech, a découvert trois copies identiques des données exposées le 1er août.

Les preuves suggèrent un lien entre Social Data et une entreprise aujourd’hui disparue : Deep Social. Les noms des ensembles de données Instagram (comptes-deepsocial-90 et comptes-deepsocial-91) font allusion à l’origine des données. Sur cette base, Diachenko a d'abord contacté Deep Social en utilisant l'adresse e-mail indiquée sur son site Web pour divulguer l'exposition. Les administrateurs de Deep Social ont transmis la divulgation à Social Data. Le CTO de Social Data a reconnu l'exposition et les serveurs hébergeant les données ont été mis hors service environ trois heures plus tard.

Mise à jour du 13 mai 2021 :L'ancien PDG de Deep Social, Pavel Maurus, a contacté Comparitech pour apporter des éclaircissements sur l'incident. Il a déclaré que les données ne provenaient pas de Deep Social comme nous le soupçonnions auparavant. Au lieu de cela, il affirme que Social Data utilisait une version modifiée du même logiciel que celui utilisé par Deep Social, d'où les noms des bases de données. Le logiciel original a extrait les données de profil de l'API officielle de Facebook, dont l'accès a été coupé par Facebook en 2018. La version modifiée, qui, selon Maurus, aurait pu être volée par d'anciens employés de Deep Social qui travaillent maintenant pour Social Data Trading Limited, pourrait récupérer des données. sans accès API et pourrait accéder à un plus large éventail de réseaux sociaux comme TikTok et Youtube. Les horodatages sur les données exposées corroborent le récit de Maurus, suggérant qu’elles ont été collectées après la fermeture de Deep Social and Social Data Ltd. Maurus souligne que Social Data Trading Limited, qui exploite socialdata.hk, est une entité complètement distincte d'une autre société dans laquelle il est impliqué, Social Data Ltd., dont cette dernière a fermé ses portes en janvier 2020. L'auteur a modifié le texte de cet article. article pour refléter la distinction.

Facebook et Instagram a banni Deep Social de ses API marketing en 2018 et a menacé de poursuites judiciaires contre lui s’il continuait à extraire les données des profils de ses utilisateurs. Deep Social a ensuite annoncé qu'il mettrait fin à ses opérations et a depuis fermé son service d'origine.

Social Data Trading Limited nie tout lien entre lui-même et Deep Social.

Le Web scraping est une tâche automatisée qui copie en masse les données et les informations des pages Web. Bien que Social Data insiste sur le fait qu’elle ne supprime que ce qui est accessible au public, cette pratique est contraire aux conditions d’utilisation de Facebook, Instagram, TikTok et Youtube. Les robots de scraping automatisés peuvent être difficiles à distinguer des visiteurs normaux de sites Web, de sorte que les sociétés de médias sociaux ont du mal à les empêcher d'accéder aux profils d'utilisateurs jusqu'à ce qu'il soit trop tard.

Un porte-parole de Social Data a déclaré à Diachenko dans un e-mail : « Veuillez noter que la connotation négative selon laquelle les données ont été piratées implique que les informations ont été obtenues subrepticement. Ce n’est tout simplement pas vrai, toutes les données sont disponibles gratuitement pour TOUTE PERSONNE ayant accès à Internet. Je vous serais reconnaissant si vous pouviez veiller à ce que cela soit clair. N'importe qui pourrait phishing ou contacter toute personne indiquant son téléphone et son e-mail dans la description de son profil de réseau social de la même manière, même sans l'existence de la base de données. […] Les réseaux sociaux eux-mêmes exposent les données à des tiers – c’est leur affaire – des réseaux et des profils publics ouverts. Les utilisateurs qui ne souhaitent pas fournir d'informations rendent leur compte privé. [sic] »

La porte-parole de la société Facebook, Stephanie Otway, a déclaré à Comparitech dans un e-mail : « Récupérer les informations des personnes sur Instagram est une violation flagrante de nos politiques. Nous avons révoqué l’accès de Deep Social à notre plateforme en juin 2018 et envoyé un avis juridique interdisant toute autre collecte de données.

Chronologie de l'exposition

Nous ne savons pas combien de temps les données ont été exposées avant notre découverte le 1er août. Nous ne savons pas non plus si des parties non autorisées y ont accédé pendant l'exposition. Notre pot de miel expériences montrent que les pirates peuvent trouver et attaquer des bases de données non sécurisées quelques heures après avoir été exposées.

La base de données a été fermée environ trois heures après l'envoi de notre première divulgation.

Quelles données ont été exposées ?

Trois copies identiques des données étaient hébergées sur trois adresses IPv6 distinctes. Au total, chacun a stocké des données sur environ 235 millions de profils de réseaux sociaux. Voici une répartition des plus grands ensembles de données :

• 96 714 241 enregistrements supprimés d’Instagram
• 95 678 713 enregistrements supprimés d'Instagram
• 42 129 799 enregistrements supprimés de TikTok
• 3 955 892 enregistrements récupérés sur Youtube

Chaque enregistrement contient tout ou partie des informations suivantes :

• Nom de profil
• Vrai nom complet
• Photo de profil
• Description du compte
• Si le profil appartient à une entreprise ou contient des publicités
• Statistiques sur l'engagement des abonnés, notamment :
  • Nombre d'abonnés
  • Taux d'engagement
  • Taux de croissance des abonnés
  • Genre du public
  • Âge du public
  • Localisation du public
  • Aime
• Horodatage du dernier message
• Âge
• Genre

D'après les échantillons que nous avons collectés, environ un enregistrement sur cinq contenait soit un numéro de téléphone, soit une adresse e-mail.

Dangers des données exposées

Les informations stockées dans cette base de données sont vulnérables aux campagnes de spam et de phishing. Les utilisateurs d’Instagram et de TikTok doivent être à l’affût des escroqueries et des messages de phishing envoyés directement ou publiés dans des commentaires. Même si les informations sont accessibles au public, la taille et la portée d’une base de données agrégée la rendent plus vulnérable aux attaques massives qu’elle ne le serait si elle était isolée.

Les images et autres données de profil pourraient être utilisées par des fraudeurs pour créer de faux comptes d’imitation. Ces comptes attirent des abonnés, puis favorisent les escroqueries ou la désinformation.

Les images pourraient également être utilisées sans l’autorisation des propriétaires à des fins de reconnaissance faciale.

Facebook et d’autres réseaux sociaux ont eu recours à des solutions juridiques et technologiques pour endiguer le grattage des profils de leurs utilisateurs, mais cette pratique n’a pas cessé. Les systèmes automatisés ont du mal à distinguer les scrapers des utilisateurs normaux de sites Web. L’exemple le plus marquant est Clearview.ai, qui a récupéré des profils d'images destinés à être utilisés dans la technologie de reconnaissance faciale commercialisée en masse .

• Meilleurs services VPN
• Meilleurs fournisseurs d'antivirus
• Meilleurs services de protection contre le vol d’identité

À propos des données sociales et du Deep Social

Deep Social se décrit comme « une plateforme freemium de classement des influenceurs, de découverte et d'analyse basée sur l'IA […] fournissant à ses 44 817 clients des informations approfondies sur les données démographiques et psychographiques des influenceurs et de leur public ».

Selon son site Web, Deep Social a été utilisé par une série de grandes marques, notamment Samsung, Heineken, L'Oréal, Unilever, Walmart, Amazon, Disney et Booking.com. Il prétendait être « conforme au RGPD ».

La politique de confidentialité de l’entreprise ( PDF ) affirme qu'elle était basée en dehors de l'Espace économique européen, mais qu'elle avait un représentant désigné au Royaume-Uni et qu'elle était enregistrée en tant qu'entreprise dans le Delaware, aux États-Unis.

Deep Social a fermé ses portes en 2018 après que Facebook l'aurait banni de son API marketing et menacé de poursuites judiciaires.

Social Data Trading Limited a été lancé en août 2019, selon les annuaires d'entreprises de Hong Kong. Son site Web indique qu'il « aide votre entreprise à trouver des influenceurs et à obtenir des informations approfondies sur les données démographiques et psychographiques des influenceurs et de leur public sur différents types de médias sociaux sur le Web ».

Les données sociales sont incorporées à Hong Kong, conformément à leurs conditions de service ( PDF ) et son domaine de premier niveau .hk.

Pourquoi nous avons signalé cet incident de données

Les chercheurs de Comparitech analysent régulièrement le Web à la recherche de serveurs non protégés contenant des données personnelles. Dès la découverte d’une base de données non sécurisée, nous lançons rapidement une enquête pour déterminer qui en est responsable, qui est concerné et quelles pourraient être les conséquences potentielles si une partie malveillante obtenait les données.

Dès que nous déterminons qui est le propriétaire, nous envoyons une divulgation afin qu'elle puisse être sécurisée. Nous publions ensuite un article comme celui-ci pour sensibiliser et réduire les dommages potentiels pour les utilisateurs finaux.

Rapports d'incidents de données précédents

Comparitech a publié des dizaines de rapports d'incidents de données comme celui-ci, notamment :

• UFO VPN expose des millions de journaux, y compris les mots de passe des utilisateurs
• 42 millions de numéros de téléphone et d’identifiants d’utilisateurs iraniens « Telegram » ont été piratés
• Les détails de près de 8 millions d’achats en ligne au Royaume-Uni ont été divulgués
• 250 millions de dossiers de support client Microsoft ont été exposés en ligne
• Plus de 260 millions d'identifiants Facebook ont ​​été publiés sur un forum de hackers
• Près de 3 milliards d'adresses e-mail ont été divulguées, dont beaucoup avec les mots de passe correspondants
• Des informations détaillées sur 188 millions de personnes étaient conservées dans une base de données non sécurisée
• Plus de 2,5 millions de dossiers clients CenturyLink ont ​​été divulgués

Gregory Boddin a travaillé avec Bob Diachenko et a contribué aux recherches utilisées dans ce rapport.