I dati di 250 milioni di utenti di Instagram, Youtube e TikTok, tutti ammassati in un unico database senza password e accessibile a chiunque. Una svista che potrebbe costare cara al data broker Social Data.
È stato scoperto un enorme database con informazioni su oltre 250 milioni di account dei social più usati, da Youtube a TikTok, passando per Instagram. Il database appartiene al data broker Social Data, ed era sprovvisto di una qualsiasi forma di protezione. Poteva accederci chiunque, senza bisogno di una password.
La mole di informazioni coinvolte, spiega Comparitech.com, è piuttosto ampia: si va dai nome, agli indirizzi email, passando per i contenuti postati dagli utenti (foto e video)e le statistiche relative ai follower. Tutte informazioni raccolte attraverso il data scraping, ossia sguinzagliando i bot affinché setaccino ogni profilo “aperto”, visibile a tutti. Per capirci, è semplicemente un’automazione di un processo che potrebbe fare qualsiasi persona visitando materialmente ogni profilo di un social e annotandosi le informazioni visibili ad occhio nudo.
Certo, non stiamo parlando di informazioni strettamente compromettenti —come password o conversazioni private— ma rimane un gran problema. Non soltanto Social Data ha verosimilmente raccolto questi dati, con il fine ultimo di rivenderli a terzi, violando le policy delle piattaforme in questione (che vietano esplicitamente il cd datascraping), ma stiamo anche parlando di informazioni che facilitano la vita dei malintenzionati interessati a condurre attacchi phishing di massa.
I ricercatori di Compari Tech, una volta scoperto e accertata la natura del server, hanno tempestivamente contattato la Social Data, che nel giro di tre ore ha messo offline il database. La maggior parte dei dati, spiega sempre Compari Tech, arrivano dalle attività di data scraping della Deep Social, una compagnia oggi non più attiva che nel 2018 era stata bannata da Facebook per aver raccolto dati sugli utenti del social violando le policy del sito.