Исследователи по кибербезопасности обнаружили в сети незащищенную базу данных, содержащую в себе личную информацию 235 млн пользователей Instagram (владелец компания Meta признана в России экстремистской и запрещена), TikTok и YouTube, сообщает портал The Next Web со ссылкой на ИБ-компанию Comparitech.
В каждой пятой записи из слитой базы содержалась электронная почта или телефонный номер пользователя. Кроме того, во всех без исключениях записях можно было найти имя аккаунта, настоящее имя юзера, его фото и описание профиля. Также оказалась доступна подробная статистика о фолловерах, включая разбивку по возрасту, полу, геолокации и другим показателям.
«Эта информация будет наиболее ценной для спамеров и киберпреступников, проводящих фишинговые кампании. Даже несмотря на то, что данные общедоступны, тот факт, что они были слиты в виде хорошо структурированной базы данных, делает их гораздо более ценными, чем каждый профиль по отдельности», — заявил редактор Comparitech Пол Бишофф.
Действительно, данные, о которых идет речь, до объединения в обособленную базу находились в общем доступе в интернете. Они были собраны в результате так называемого веб-скрейпинга — техники автоматического сбора информации с различных веб-страниц для дальнейшего использования. Несмотря на то что веб-скрейпинг является законным, многие интернет-компании запрещают эту практику для защиты собственных пользователей.
Собранные в результате веб-скрейпинга данные используются статистическими компаниями для собственных проектов или перепродажи другим фирмам.
Однако, как справедливо отметил Бишофф, цельная база данных, лежащая в открытом доступе в незащищенном виде без пароля, является серьезной угрозой кибербезопасности.
Ведущему исследователю Comparitech Бобу Дьяченко удалось установить, что база данных, о которой идет речь, ранее принадлежала компании Deep Social, которая уже прекратила свое существование. Известно, что ранее ее уличали в веб-скрейпинге данных сервисов, запретивших подобных сбор.
«Сбор данных из Instagram является очевидным случаем нарушения наших правил. Мы восстановили доступ Deep Social к нашей платформе в июне 2018 года и направили им официальное уведомление о запрете дальнейшего сбора данных», — заявил представитель Facebook (владелец компания Meta признана в России экстремистской и запрещена) в комментарии для Forbes.
«TikTok уделяет первоочередное внимание конфиденциальности пользователей. Наши правила запрещают третьим лицам запускать автоматизированные скрипты для сбора информации из наших сервисов, включая информацию, которая относится к категории общедоступной. Если мы выявляем любую подобную практику, мы незамедлительно принимаем меры, в том числе с помощью суда», — сообщили в пресс-службе TikTok.
В компании Google, владеющей YouTube, не смогли предоставить оперативный комментарий.
Проблема объемных баз данных, находящихся в открытом доступе, стала настолько острой, что начали появляться безымянные герои, удаляющие их из интернета. Так, в июле была зафиксирована необычная хакерская атака — злоумышленники взломали свыше тысячи незащищенных архивов с информацией, а затем стерли их, оставив на месте удаленных сведений лишь строчки случайных цифр и слово «мяу».