0
0
Um erro de configuração da nuvem por SocialArks expôs 318 milhões de registros coletados do Facebook, Instagram e LinkedIn.
Mais de 400 GB de dados de perfis públicos e privados de 214 milhões de usuários de mídia social em todo o mundo foram expostos à Internet – incluindo detalhes de celebridades e influenciadores de mídia social nos Estados Unidos e em outros lugares.
O vazamento decorre de um banco de dados ElasticSearch mal configurado de propriedade da empresa chinesa de gerenciamento de mídia social SocialArks, que continha informações de identificação pessoal (PII) de usuários do Facebook, Instagram, LinkedIn e outras plataformas, de acordo com pesquisadores da Safety Detectives.
O servidor foi descoberto publicamente sem proteção de senha ou criptografia durante as verificações de endereço IP de rotina em bancos de dados potencialmente inseguros, disseram os pesquisadores. Continha mais de 318 milhões de registros no total.
A plataforma de gerenciamento de dados da SocialArks é usada para publicidade e marketing programático. Ela se autodenomina uma “empresa de gerenciamento de mídia social transfronteiriça dedicada a resolver os problemas atuais de construção de marca, marketing, marketing e gerenciamento de cliente social na indústria de comércio exterior da China”.
Os dados incluíram resmas de informações de usuários norte-americanos. Fonte: Detetives de segurança.
O servidor afetado, hospedado pela Tencent, foi segmentado em índices para armazenar dados obtidos de cada fonte de mídia social, o que permitiu aos pesquisadores examinar os dados mais detalhadamente.
“Nossa equipe de pesquisa foi capaz de determinar que todos os dados vazados foram ‘retirados’ das plataformas de mídia social, o que é antiético e uma violação dos termos de serviço do Facebook , Instagram e LinkedIn”, disseram os pesquisadores em um blog na segunda-feira postar .
Os perfis raspados incluíram 11.651.162 perfis de usuário do Instagram; 66.117.839 perfis de usuário do LinkedIn; 81.551.567 perfis de usuário do Facebook; e 55.300.000 perfis do Facebook que foram excluídos poucas horas depois que o servidor aberto foi descoberto.
Os dados de perfil público incluíam biografias, fotos de perfil, totais de seguidores, configurações de localização, detalhes de contato como endereços de e-mail e números de telefone, número de seguidores, número de comentários, hashtags usadas com frequência, nomes de empresas, cargo e muito mais.
“Dados de mídia social extraídos para fins de marketing inevitavelmente incluirão informações confidenciais”, disse Jack Mannino, CEO da nVisium, ao Threatpost. “Para cada pessoa preocupada com a privacidade que usa a mídia social, há um número exponencialmente maior de pessoas compartilhando publicamente detalhes íntimos sobre suas vidas privadas. Para se proteger, restrinja o acesso público ao seu perfil e ativos de mídia, seja sensato sobre o que publica online e tenha cuidado com as permissões que concede a aplicativos que podem abusar, usar indevidamente ou roubar suas informações. ”
No entanto, além da coleta de dados publicamente disponíveis, o banco de dados também incluía, inexplicavelmente, dados privados para usuários de mídia social.
“O banco de dados da SocialArks armazenava dados pessoais para usuários do Instagram e LinkedIn, como números de telefone privados e endereços de e-mail de usuários que não divulgaram essas informações publicamente em suas contas”, disseram os pesquisadores. “Como o SocialArks poderia ter acesso a esses dados em primeiro lugar permanece desconhecido … Ainda não está claro como a empresa conseguiu obter dados privados de várias fontes seguras … Além disso, o servidor da empresa tinha segurança insuficiente e foi deixado completamente inseguro.”
O Threatpost entrou em contato com o SocialArks para obter mais informações.
O banco de dados foi protegido pela SocialArks no mesmo dia em que os Detetives de Segurança alertaram a empresa sobre o problema.
A SocialArks sofreu uma violação de dados semelhante em agosto, que afetou 66 milhões de usuários do LinkedIn, 11,6 milhões de contas do Instagram e 81,5 milhões de contas do Facebook – cerca de 150 milhões no total. As informações expostas também consistiam em dados recolhidos publicamente disponíveis, como nomes completos, país de residência, local de trabalho, cargo, dados de assinantes e informações de contato, bem como links diretos para perfis.
Ter um repositório central para essas informações abre a porta para ataques de engenharia social automatizados de alto volume, alertaram os especialistas.
“A maior parte da coleta de dados é completamente inócua e realizada por desenvolvedores da web, analistas de business intelligence, negócios honestos, como sites de reservas de viagens, além de ser realizada para fins de pesquisa de mercado online”, disseram os pesquisadores. “No entanto, mesmo que esses dados sejam obtidos legalmente – se forem armazenados sem segurança cibernética adequada, podem ocorrer grandes vazamentos que afetam milhões de pessoas. Quando informações privadas, incluindo números de telefone, endereços de e-mail e informações de nascimento são extraídas e / ou vazadas, os criminosos têm o poder de cometer atos hediondos, incluindo roubo de identidade e fraude financeira. ”
Dirk Schrader, vice-presidente global da New Net Technologies, disse que o fato de a coleta ter ocorrido – informações públicas ou privadas – é por si só interessante.
“Perfis públicos já foram raspados antes e os gigantes naquele espaço geralmente tentam bloquear tentativas de remoção em massa, já que a intenção por trás é obter acesso ao seu ‘petróleo’”, disse ele ao Threatpost. “Por que não funcionou neste caso seria um fato interessante de saber. Como um provável usuário do LinkedIn afetado, minhas escolhas são limitadas. Aceito que isso acontecerá, ou posso reduzir meu perfil, o que limita minha capacidade de fazer conexões comerciais até certo ponto. A quantidade de informações que um usuário fornece é de sua escolha. A própria eliminação, especialmente quando os dados coletados estão mal protegidos, aumenta a probabilidade de ser alvo de ataques específicos e e-mails indesejados ”.
FONTE: THREATPOST