Diffusi online oltre 235 milioni di profili TikTok, Instagram e YouTube

DiMarco Nisticò

PUBBLICATO IL 21 Ago 2020 ALLE 17:00 - AGGIORNATO IL 21 Agosto 2020 ALLE 17:06 #sicurezza

Nelle ultime ore oltre 235 milioni di account TikTok, Instagram e YouTube sono caduti nelle grinfie degli hacker, che prontamente hanno diffuso l’intero database nel web, senza nessuna password e quindi consultabile liberamente da chiunque.

Non siamo nuovi a notizie di questo genere. Basti pensare che qualche giorno fa è stata la volta di Intel, che si è vista rubare ben 20GB di dati riservati riguardanti le future tecnologie hardware. Inoltre non è la prima volta che vengono trafugati milioni di profili personali di utenti dai più noti social network o dalle applicazioni più utilizzate al momento come Zoom, Microsoft Team o Skype. In questo caso però il danno è senza dubbio ragguardevole, in quanto si parla di ben 235 milioni di informazioni personali, come immagini, contatti e nomi delle persone coinvolte.

A riportare il fatto è stato The Next Web, che afferma come i dati siano stati reperiti grazie al fatto che i più popolare servizi di analisi sfruttano la tecnica del web scraping per raccogliere informazioni sugli utenti e raggrupparle in enormi database, oltre che a venderli a società terze a fini commerciali. Il problema è che questi database spesso non vengono protetti o comunque sono vulnerabili ad attacchi più o meno noti, che rendono quindi tali informazioni meno sicure.

Un database contenente dati di quasi 235 milioni di utenti di social media da Instagram, TikTok e YouTube è stato esposto senza alcuna protezione con password. Conteneva informazioni utente come nomi, informazioni di contatto, immagini e statistiche sui follower.

Il web scraping è una tecnica di raccolta di dati dalle pagine web in modo automatizzato. Anche se non è illegale, le società di social media vietano questa pratica per proteggere i dati degli utenti. Tuttavia, un sacco di aziende di analisi creano grandi database di informazioni utente utilizzando scraper web su siti popolari. Alcune di queste aziende spesso vendono dati dettagliati da questi database ad altre aziende.

The Next Web

Successivamente si è scoperto che i dati provengono originariamente da una società nota come Deep Social, che si occupava proprio di web scraping. Recentemente è intervenuta nuovamente l’azienda, in contatto con la società Social Data, affermando che “la connotazione negativa che i dati sono stati violati implica che le informazioni sono state ottenute surrettiziamente. Questo non è semplicemente vero, tutti i dati sono disponibili gratuitamente a chiunque con accesso a Internet“. Il ricercatore di sicurezza Bob Diachenko, che guida il team di ricerca sulla sicurezza informatica di Comparitech, ha scoperto tre copie identiche dei dati esposti il 1 agosto. Facebook e Instagram hanno bannato definitivamente Deep Social già nel 2018, in quanto il web scraping è una pratica che va contro le policy dei loro social network. Non si sa per quanto tempo questo database è rimasto violabile prima che Diachenko ne individuasse le varie copie, però sappiamo il numero di dati raccolti da ogni social:

  • 96.714.241 record rubati da Instagram
  • 95.678.713 record rubati da Instagram
  • 42.129.799 record rubati da TikTok
  • 3.955.892 record rubati da Youtube

Questi record, che altro non sono che semplici valori di un database, contengono informazioni come nomi, username, follower, età e foto dei profili utente. Dati che apparentemente sembrano innocui ma che tramite la social engineering possono portare al recupero della password e di conseguenza al furto di identità di un profilo. Altra conseguenza di questo furto è la possibilità di colpire i profili attraverso attacchi di phishing o spam, con cui andare a recuperare informazioni ancora più sensibili, come codici personali, password e quant’altro.

Di Marco Nisticò

Sviluppatore informatico, cerco sempre di stare al passo con i tempi in un mondo ormai circondato dalla tecnologia.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.