Broker de datos de redes sociales expone casi 235 millones de perfiles de Instagram, TikTok y Youtube

recepción de datos sociales

Social Data Trading Limited, una empresa que vende datos de influencers de redes sociales a especialistas en marketing, expuso una base de datos de casi 235 millones de perfiles de redes sociales en la web sin contrase√Īas u otra autenticaci√≥n requerida para acceder a ella, seg√ļn un nuevo informe de Comparitech. investigadores. Los datos inclu√≠an una gran cantidad de informaci√≥n, incluidos nombres, detalles de contacto, informaci√≥n personal, im√°genes y estad√≠sticas de suscriptores.

Los perfiles se tomaron de p√°ginas de redes sociales disponibles p√ļblicamente en Youtube, TikTok e Instagram. El investigador de seguridad Bob Diachenko, que dirige el equipo de investigaci√≥n de ciberseguridad de Comparitech, descubri√≥ tres copias id√©nticas de los datos expuestos el 1 de agosto.

La evidencia sugiere un vínculo entre Social Data y una empresa ahora desaparecida: Deep Social. Los nombres de los conjuntos de datos de Instagram (cuentas-deepsocial-90 y cuenta-deepsocial-91) aluden al origen de los datos. En base a esto, Diachenko primero se puso en contacto con Deep Social utilizando la dirección de correo electrónico que figura en su sitio web para divulgar la exhibición. Los administradores de Deep Social remitieron la divulgación a Social Data. El CTO de Social Data reconoció la exposición y los servidores que alojaban los datos fueron eliminados unas tres horas después.

Actualizaci√≥n el 13 de mayo de 2021: El ex director ejecutivo de Deep Social, Pavel Maurus, se acerc√≥ a Comparitech para proporcionar una aclaraci√≥n sobre el incidente. Dijo que los datos no son de Deep Social como sospech√°bamos anteriormente. En cambio, afirma que Social Data utiliz√≥ una versi√≥n modificada del mismo software que utiliza Deep Social, de ah√≠ los nombres de la base de datos. El software original extrajo datos de perfil de la API oficial de Facebook, que fue cortada por Facebook en 2018. La versi√≥n modificada, que seg√ļn Maurus podr√≠a haber sido robada por ex empleados de Deep Social, que ahora trabaja para Social Data Trading Limited, podr√≠a recuperar datos. sin acceso a API y podr√≠a acceder a una gama m√°s amplia de redes sociales como TikTok y Youtube. Las marcas de tiempo en los datos expuestos corroboran la cuenta de Maurus, lo que sugiere que se recopil√≥ despu√©s del cierre de Deep Social and Social Data Ltd. Maurus se√Īala que Social Data Trading Limited, que opera socialdata.hk, es una entidad completamente separada de otra compa√Ī√≠a con la que est√° involucrado, Social Data Ltd., la √ļltima de las cuales cerr√≥ en enero de 2020. El autor ha modificado el texto de este art√≠culo para reflejar la distinci√≥n.

Facebook e Instagram prohibieron Deep Social de sus API de marketing en 2018 y amenazaron con emprender acciones legales en su contra si continuaba extrayendo datos de los perfiles de sus usuarios. Deep Social luego anunció que cerraría sus operaciones y desde entonces cerró su servicio original.

Social Data Trading Limited niega cualquier conexión entre él mismo y Deep Social.

El web scraping es una tarea automatizada que copia en masa datos e informaci√≥n de p√°ginas web. Aunque Social Data insiste en que solo raspa lo que est√° disponible p√ļblicamente, la pr√°ctica va en contra de los t√©rminos de servicio de Facebook, Instagram, TikTok y Youtube. Los robots de scratching automatizados pueden ser dif√≠ciles de distinguir de los visitantes normales del sitio web, por lo que las empresas de redes sociales tienen dificultades para evitar que accedan a los perfiles de usuario hasta que sea demasiado tarde.

ejemplo de cuenta de instagram 2
Un ejemplo que muestra qué datos se pueden extraer de un perfil de Instagram

Un portavoz de Social Data le dijo a Diachenko en un correo electr√≥nico: ‚ÄúTenga en cuenta que la connotaci√≥n negativa de que los datos fueron pirateados implica que la informaci√≥n se obtuvo subrepticiamente. Esto simplemente no es cierto, todos los datos est√°n disponibles de forma gratuita para TODOS con acceso a Internet. Le agradecer√≠a que se asegurara de que esto quede claro. Cualquiera podr√≠a hacer phishing o contactar de forma similar a cualquiera que incluya un tel√©fono y un correo electr√≥nico en la descripci√≥n de su perfil de red social, incluso sin la existencia de la base de datos. [‚Ķ] Las propias redes sociales exponen datos a personas ajenas, ese es su negocio, redes y perfiles p√ļblicos abiertos. Los usuarios que no desean proporcionar informaci√≥n hacen que sus cuentas sean privadas. [sic]¬Ľ

La portavoz de la compa√Ī√≠a Facebook, Stephanie Otway, dijo a Comparitech en un correo electr√≥nico: ‚ÄúRascar la informaci√≥n de las personas en Instagram es una violaci√≥n flagrante de nuestras pol√≠ticas. Revocamos el acceso de Deep Social a nuestra plataforma en junio de 2018 y enviamos un aviso legal que proh√≠be cualquier recopilaci√≥n de datos adicional.

Cronología de la exposición

índice de datos sociales

No sabemos cuánto tiempo estuvieron expuestos los datos antes de nuestro descubrimiento el 1 de agosto. Tampoco sabemos si personas no autorizadas accedieron a él durante la exposición. Nuestros experimentos de honeypot muestran que los piratas informáticos pueden encontrar y atacar bases de datos inseguras a las pocas horas de haber sido expuestos.

La base de datos se cerró aproximadamente tres horas después de que se envió nuestra primera divulgación.

¬ŅQu√© datos se han expuesto?

ejemplo de datos sociales

Se alojaron tres copias idénticas de los datos en tres direcciones IPv6 independientes. En total, cada uno almacenó datos en alrededor de 235 millones de perfiles de redes sociales. A continuación, se muestra un desglose de los conjuntos de datos más grandes:

  • 96,714,241 registros eliminados de Instagram
  • 95,678,713 registros eliminados de Instagram
  • 42,129,799 registros recuperados de TikTok
  • 3.955.892 grabaciones recuperadas de Youtube

Cada registro contiene toda o parte de la siguiente información:

  • Nombre de perfil
  • Nombre real completo
  • Foto de perfil
  • Descripci√≥n de cuenta
  • Si el perfil es propiedad de una empresa o contiene anuncios
  • Estad√≠sticas de participaci√≥n de los suscriptores que incluyen:
    • Numero de suscriptores
    • Tasa de participaci√≥n
    • Tasa de crecimiento de suscriptores
    • G√©nero de la audiencia
    • Edad de la audiencia
    • Ubicaci√≥n de la audiencia
    • Amor
  • Marca de tiempo del √ļltimo mensaje
  • Edad
  • Amable

Seg√ļn las muestras que recopilamos, aproximadamente uno de cada cinco registros conten√≠a un n√ļmero de tel√©fono o una direcci√≥n de correo electr√≥nico.

Peligros de los datos expuestos

ejemplo de cuenta de instagram
Un ejemplo que muestra datos que se pueden extraer de un perfil de Instagram

La informaci√≥n almacenada en esta base de datos es vulnerable al marketing de spam y campa√Īas de phishing. Los usuarios de Instagram y TikTok deben estar atentos a las estafas y los mensajes de phishing enviados directamente o publicados en los comentarios. Aunque la informaci√≥n est√° disponible p√ļblicamente, el tama√Īo y el alcance de una base de datos agregada la hace m√°s vulnerable a ataques masivos de lo que ser√≠a aislada.

Los delincuentes pueden utilizar las imágenes y otros datos de perfil para crear cuentas de imitación falsas. Estas cuentas atraen a suscriptores y luego promueven estafas o desinformación.

Las imágenes también podrían usarse sin el permiso de los propietarios con fines de reconocimiento facial.

Facebook y otras redes sociales han utilizado soluciones legales y tecnológicas para detener el web scraping de los perfiles de sus usuarios, pero la práctica no se ha detenido. Los sistemas automatizados tienen dificultades para distinguir los raspadores de los usuarios normales de sitios web. El ejemplo más destacado es Clearview.ai, que ha extraído perfiles de imágenes que se utilizarán en tecnología de reconocimiento facial masivo.

Proteja sus datos con nuestra lista de:

  • Mejores servicios VPN
  • Mejores proveedores antivirus
  • Los mejores servicios de protecci√≥n contra robo de identidad

Acerca de los datos sociales y las redes sociales profundas

hogar social profundo

Deep Social se ha descrito a s√≠ misma como ¬ęuna plataforma de an√°lisis, descubrimiento y clasificaci√≥n impulsada por IA para influencers freemium¬Ľ. [‚Ķ] proporcionar a sus 44,817 clientes informaci√≥n detallada sobre la demograf√≠a y la psicograf√≠a de los influencers y sus audiencias.

Seg√ļn su sitio web, Deep Social ha sido utilizado por una variedad de marcas importantes, incluidas Samsung, Heineken, L’Oreal, Unilever, Walmart, Amazon, Disney y Booking.com. Afirm√≥ ser ¬ęcompatible con GDPR¬Ľ.

La política de privacidad de la empresa (PDF) establece que tenía su sede fuera del Espacio Económico Europeo, pero tenía un representante designado en el Reino Unido y estaba registrada como empresa en Delaware, Estados Unidos.

Deep Social cerró en 2018 después de que Facebook supuestamente lo prohibió de su API de marketing y amenazó con emprender acciones legales.

Social Data Trading Limited se lanz√≥ en agosto de 2019, seg√ļn los directorios comerciales de Hong Kong. Su sitio web afirma que ¬ęayuda a su empresa a encontrar personas influyentes y obtener informaci√≥n detallada sobre la demograf√≠a y la psicograf√≠a de las personas influyentes y sus audiencias a trav√©s de diferentes tipos de redes sociales en la web¬Ľ.

Los datos sociales están incorporados en Hong Kong, de acuerdo con sus Términos de servicio (PDF) y su dominio de nivel superior .hk.

Por qué informamos de este incidente de datos

Los investigadores de Comparitech buscan regularmente en la web servidores desprotegidos que contengan datos personales. Al descubrir una base de datos insegura, rápidamente comenzamos una investigación para determinar quién es responsable de ella, quién se ve afectado y cuáles podrían ser las posibles ramificaciones si una parte malintencionada obtiene los datos.

Tan pronto como determinamos qui√©n es el propietario, enviamos una divulgaci√≥n para que se pueda asegurar. Luego publicamos un art√≠culo como este para crear conciencia y limitar el da√Īo potencial a los usuarios finales.

Informes de incidentes de datos anteriores

Comparitech ha publicado docenas de informes de fallas de datos como este, que incluyen:

  • UFO VPN expone millones de registros, incluidas las contrase√Īas de los usuarios
  • 42 millones de n√ļmeros de tel√©fono e ID de usuario de Telegram iran√≠es pirateados
  • Se filtraron detalles de casi 8 millones de compras en l√≠nea en el Reino Unido
  • 250 millones de registros de soporte al cliente de Microsoft expuestos en l√≠nea
  • Se han publicado m√°s de 260 millones de ID de Facebook en un foro de piratas inform√°ticos.
  • Casi 3 mil millones de direcciones de correo electr√≥nico filtradas, muchas con contrase√Īas coincidentes
  • Informaci√≥n detallada sobre 188 millones de personas almacenada en una base de datos insegura
  • M√°s de 2.5 millones de registros de clientes de CenturyLink divulgados

Gregory Boddin trabajó con Bob Diachenko y contribuyó a la investigación utilizada en este informe.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *