La violazione di dati è stata scoperta dal team di ricerca sulla sicurezza di Comparitech e riguarda 235 Milioni di profili utente di TikTok, Instagram e YouTube
Social Data, società con sede a Hong Kong, stava inconsapevolmente archiviando i dati in un database senza un’adeguata protezione con password, il che significa che chiunque poteva entrare e vederli.
I dati risiedevano distribuiti su diversi data set (collezione di dati): due di circa 100 Milioni riguardanti profili Instagram, 42 Milioni di utenti TikTok e 4 Milioni di YouTube.
Ogni record contiene le seguenti informazioni:
- Nome del profilo
- Nome reale completo
- Foto profilo
- Descrizione dell’account
- Se il profilo appartiene a un’azienda o contiene annunci pubblicitari
- Statistiche dei follower con età, sesso, like, alcuni contenenti anche numeri di telefono e indirizzi e-mail.
Ma chi ha accumulato questi dati per poi inglobarli in unico database? Tutti gli indizi ricadono su una società chiamata Deep Social.
Deep Social azienda non più attiva, operava sul web effettuando raccolta di dati tramite una tecnica vietata da molti social web, il web scraping, che portò Facebook e Instagram a bloccare Deep Social minacciando azioni legali nel giugno del 2018.
Web scraping: il mercato dell’informazione
Il Web scraping è una tecnica mediante la quale vengono estratti o letteralmente “raschiati“, contenuti web tramite software, simulando una navigazione umana.
La maggior parte di questi software utilizzano dei bot o robot, cioè dei programmi autonomi che sono implementati per ricercare queste informazioni per poi inglobarle all’interno di una struttura dati organizzata, suddivisa per categorie o template per essere consultati e reperiti con facilità.
Per chi volesse provare come funziona il Web scraping può testare Scrapy o Parsehub o soluzioni più sofisticate come ScrapingBee, un’API in tempo reale che gestisce proxy rotanti e browser headless.
Esistono società che creano sistemi di Web scraping su misura e altre chiamate data broker, che si occupano di raccogliere anche tramite l’utilizzo di queste soluzioni, enormi quantità di dati per poi rivenderli .
Si tratta di un vero e proprio mercato dell’informazione.
TikTok, Instagram, YouTube ma non solo
TikTok, Instagram, YouTube sono degli enormi contenitori di dati, vietano l’ottenimento delle informazioni degli utenti attraverso la procedura automatica dello scraping ed implementano svariati sistemi per evitare la violazione di dati (criteri di geolocalizzazione per bannare gli indirizzi IP, CAPTCHA, anti-bot e anti-scraping), ma il problema coinvolge tutto il Web e tutti i Social.
Web scraping e violazione dei dati
Attenzione la pratica del Web scraping non è illegale, ma l’utilizzo che viene fatto con i dati raccolti lo può essere.
Le informazioni riguardanti i dati violati, memorizzate nel database presso Social Data, sono vulnerabili a campagne di marketing spam, phishing, creazione di falsi account, fino ad arrivare alla creazione di documenti falsi e furto di identità.
Social Data dopo la comunicazione da parte di Comparitech della violazione contenente i dati degli account TikTok, Instagram, YouTube ha provveduto circa tre ore dopo alla rimozione dei server liberamente accessibili, riconoscendo la pericolosità del database.
Quali precauzione può prendere l’utente
L’utente ignaro e vittima di questo sistema deve come prima cosa prendere coscienza del valore dei propri dati.
Verificare che le informazioni richieste come data di nascita o l’indirizzo, non siano pubblicamente visibili se non tramite concessione da parte dell’utente.
Verificare l’attendibilità dei siti web che richiedono informazioni oltre a quelle necessarie per l’utilizzo del servizio offerto.
Aggiornare la sicurezza dell’account e relativa password periodicamente, evitando di utilizzare un unica password per tutti i servizi che siano essi Social o altro.
Lascia un commento