Una empresa expuso los datos de 235 millones de usuarios de redes sociales como Instagram, TikTok y YouTube. Social Data, compañía que proporciona servicios para empresas en redes sociales, es a la que se le adjudica la responsabilidad.
La compañía de ciberseguridad Comparitech, dio a conocer los hechos mediante un comunicado.
Aseguró que la base de datos de Social Data “no estaba protegida con ningún método de autenticación, ni siquiera con contraseña”.
La información se realizó mediante un nuevo informe de los investigadores de Comparitech. Los datos incluían una gran cantidad de información, incluidos nombres, información de contacto, información personal, imágenes y estadísticas sobre seguidores.
Los perfiles se tomaron de páginas de redes sociales visibles públicamente en Youtube, TikTok e Instagram.
El investigador de seguridad Bob Diachenko, que dirige el equipo de investigación de ciberseguridad de Comparitech, descubrió tres copias idénticas de los datos expuestos el 1 de agosto.
Los datos que fueron vulnerados de estas redes sociales son:
- Nombre de perfil
- Nombre real completo
- Foto de perfil
- Descripción de cuenta
- Si el perfil pertenece a una empresa o tiene anuncios.
- Estadísticas sobre la participación de los seguidores, que incluyen:
- Numero de seguidores
- Tasa de participación
- Tasa de crecimiento de seguidores
- Género de la audiencia
- Edad de la audiencia
- Ubicación de la audiencia
- Gustos
- Marca de tiempo de la última publicación
- Años
- Género
La evidencia sugiere que muchos de los datos provienen originalmente de una empresa ahora desaparecida: Deep Social. Los nombres de los conjuntos de datos de Instagram (cuentas-deepsocial-90 y cuentas-deepsocial-91) insinúan el origen de los datos.
Con base en esto, Diachenko primero se puso en contacto con Deep Social utilizando la dirección de correo electrónico que figura en su sitio web para revelar la exposición.
Los administradores de Deep Social remitieron la divulgación a Social Data. Esa empresa reconoció la exposición, y los servidores que alojaban; los datos fueron eliminados unas tres horas después.
Facebook e Instagram prohibieron Deep Social de su interfaz de programación de aplicaciones de marketing en 2018 y amenazaron con emprender acciones legales en su contra si continuaba extrayendo datos de los perfiles de sus usuarios.
Deep Social luego anunció que cerraría sus operaciones y desde entonces cerró su servicio original.
La web scraping copia datos e información de páginas web de forma masiva. Aunque Social Data insiste en que solo usa lo que es de acceso público, la práctica va en contra de los términos de uso de Facebook, Instagram, TikTok y Youtube.
Los robots de raspado automatizados pueden ser difíciles de distinguir de los visitantes normales del sitio web, por lo que las empresas de redes sociales tienen dificultades para evitar que accedan a los perfiles de usuario hasta que es demasiado tarde.
Un portavoz de Social Data le dijo a Diachenko en un correo electrónico:
“Por favor, tenga en cuenta que la connotación negativa de que los datos han sido pirateados implica que la información se obtuvo de manera subrepticia. Esto simplemente no es cierto, todos los datos están disponibles gratuitamente para cualquiera con acceso a Internet. Le agradecería que se asegurara de que esto quede claro. Cualquiera puede realizar phishing o contactar a cualquier persona que indique teléfono y correo electrónico en la descripción de su perfil de red social de la misma forma incluso sin la existencia de la base de datos. […] Las propias redes sociales exponen los datos a extraños – ese es su negocio – redes y perfiles públicos abiertos. Aquellos usuarios que no deseen brindar información, hacen que sus cuentas sean privadas”.
La portavoz de la empresa de Facebook, Stephanie Otway, dijo a Comparitech en un correo electrónico: “Sacar la información de las personas de Instagram es una clara violación de nuestras políticas. Revocamos el acceso de Deep Social a nuestra plataforma en junio de 2018 y enviamos un aviso legal que prohíbe cualquier recopilación de datos adicional”.
“La información probablemente sería más valiosa para los spammers y los ciberdelincuentes que ejecutan campañas de phishing”, dijo Paul Bischoff, editor de Comparitech.
“A pesar de que los datos son de acceso público, el hecho de que se filtraron en conjunto como una base de datos bien estructurada los hace mucho más valiosos de lo que sería cada perfil de forma aislada”, puntualizó Bischoff.