21.09.2020

YouTube, Instagram, TikTok: 235 млн аккаунтов утекли в сеть

База данных с персональной информацией о 235 млн пользователей Instagram, TikTok и YouTube оказалась в открытом доступе без какой-либо защиты. В ней были обнаружены имена, контакты, фотографии и статистика о фолловерах. Сообщается, что эта база была создана при помощи так называемого веб-скрейпинга — техники автоматического сбора информации с различных веб-страниц. 

Исследователи по кибербезопасности обнаружили в сети незащищенную базу данных, содержащую в себе личную информацию 235 млн пользователей Instagram, TikTok и YouTube, сообщает портал The Next Web со ссылкой на ИБ-компанию Comparitech. 

В каждой пятой записи из слитой базы содержалась электронная почта или телефонный номер пользователя. Кроме того, во всех без исключениях записях можно было найти имя аккаунта, настоящее имя юзера, его фото и описание профиля. Также оказалась доступна подробная статистика о фолловерах, включая разбивку по возрасту, полу, геолокации и другим показателям.

«Эта информация будет наиболее ценной для спамеров и киберпреступников, проводящих фишинговые кампании. Даже несмотря на то, что данные общедоступны, тот факт, что они были слиты в виде хорошо структурированной базы данных, делает их гораздо более ценными, чем каждый профиль по отдельности», — заявил редактор Comparitech Пол Бишофф.

Действительно, данные, о которых идет речь, до объединения в обособленную базу находились в общем доступе в интернете. Они были собраны в результате так называемого веб-скрейпинга — техники автоматического сбора информации с различных веб-страниц для дальнейшего использования. Несмотря на то что веб-скрейпинг является законным, многие интернет-компании запрещают эту практику для защиты собственных пользователей. 

Собранные в результате веб-скрейпинга данные используются статистическими компаниями для собственных проектов или перепродажи другим фирмам.

Однако, как справедливо отметил Бишофф, цельная база данных, лежащая в открытом доступе в незащищенном виде без пароля, является серьезной угрозой кибербезопасности.

Ведущему исследователю Comparitech Бобу Дьяченко удалось установить, что база данных, о которой идет речь, ранее принадлежала компании Deep Social, которая уже прекратила свое существование. Известно, что ранее ее уличали в веб-скрейпинге данных сервисов, запретивших подобных сбор.

«Сбор данных из Instagram является очевидным случаем нарушения наших правил. Мы восстановили доступ Deep Social к нашей платформе в июне 2018 года и направили им официальное уведомление о запрете дальнейшего сбора данных», — заявил представитель Facebook в комментарии для Forbes.

«TikTok уделяет первоочередное внимание конфиденциальности пользователей. Наши правила запрещают третьим лицам запускать автоматизированные скрипты для сбора информации из наших сервисов, включая информацию, которая относится к категории общедоступной. Если мы выявляем любую подобную практику, мы незамедлительно принимаем меры, в том числе с помощью суда», — сообщили в пресс-службе TikTok.

В компании Google, владеющей YouTube, не смогли предоставить оперативный комментарий. 

Проблема объемных баз данных, находящихся в открытом доступе, стала настолько острой, что начали появляться безымянные герои, удаляющие их из интернета. Так, в июле была зафиксирована необычная хакерская атака — злоумышленники взломали свыше тысячи незащищенных архивов с информацией, а затем стерли их, оставив на месте удаленных сведений лишь строчки случайных цифр и слово «мяу».