Link-2-Secure

Cybersecurity and data breach news

SocialArks – wielki wyciek nielegalnie pozyskanych danych. Mimo, że firma chińska, ujawnione dane mogą dotyczyć również obywateli UE

Ponad 400 GB publicznych i prywatnych danych profilowych dotyczących 214 milionów użytkowników mediów społecznościowych z całego świata zostało ujawnionych w Internecie.

Błędna konfiguracja chmury przez SocialArks naraziła na ujawnienie 318 milionów rekordów pobranych z Facebooka, Instagramu i LinkedIn.

Ponad 400 GB publicznych i prywatnych danych profilowych dotyczących 214 milionów użytkowników mediów społecznościowych z całego świata zostało ujawnionych w Internecie – w tym szczegóły dotyczące gwiazd i osób mających wpływ na rozwój mediów społecznościowych w Stanach Zjednoczonych i innych krajach.

Wyciek wynika z niewłaściwie skonfigurowanej bazy danych ElasticSearch, należącej do chińskiej firmy zarządzającej mediami społecznościowymi SocialArks, która zawierała dane osobowe pochodzące od użytkowników Facebooka, Instagramu, LinkedIn i innych platform, jak twierdzą badacze z firmy Safety Detectives.

Serwer z bazą został udostępniony publicznie bez ochrony hasłem lub szyfrowania. Zawierał on w sumie ponad 318 milionów rekordów.
Platforma zarządzania danymi SocialArks jest wykorzystywana do celów reklamy programowej i marketingu. Występuje jako „transgraniczna firma zarządzająca mediami społecznościowymi, zajmująca się rozwiązywaniem bieżących problemów związanych z budowaniem marki, marketingiem, marketingiem, społecznym zarządzaniem klientami w chińskiej branży handlu zagranicznego”.

„Nasz zespół badawczy zdołał ustalić, że dane zostały „pozyskane” z platform mediów społecznościowych, co jest zarówno nieetyczne, jak i stanowi naruszenie warunków korzystania z Facebooka, Instagramu i LinkedIn”.

Pozyskane dane obejmowały 11 651 162 profili użytkowników Instagram; 66,117,839 profili użytkowników LinkedIn; 81,551,567 profili użytkowników Facebooka; oraz 55,300,000 profili Facebook, które zostały usunięte w ciągu kilku godzin po odkryciu faktu istnienia otwartej, nieszyfrowanej bazy.

Publiczne dane profilowe obejmowały biografie, zdjęcia profilowe, sumy osób śledzących, ustawienia lokalizacji, dane kontaktowe, takie jak adresy e-mail i numery telefonów, liczba osób śledzących, liczba komentarzy, często używane hashtagi, nazwy firm, stanowiska pracy i inne.

„Dane z mediów społecznościowych pobierane do celów marketingowych będą nieuchronnie zawierać informacje wrażliwe” – powiedział Jack Mannino, dyrektor generalny nVisium. „Dla każdej osoby świadomej swojej prywatności, korzystającej z mediów społecznościowych, istnieje wykładniczo większa liczba osób, które publicznie dzielą się intymnymi szczegółami na temat swojego życia prywatnego. Aby chronić siebie, ogranicz dostęp publiczny do swojego profilu i zasobów medialnych, bądź rozsądny co do tego, co zamieszczasz w sieci i uważaj, jakie zezwolenia udzielasz aplikacjom, które mogą nadużywać, niewłaściwie wykorzystywać lub kraść Twoje informacje”.

Jednakże, oprócz zestawiania publicznie dostępnych danych, baza zawierała również pozyskane zapewnie nielegalnie prywatne dane użytkowników mediów społecznościowych.

„Baza danych SocialArks przechowuje dane osobowe użytkowników Instagram i LinkedIn, takie jak prywatne numery telefonów i adresy e-mail użytkowników, którzy nie ujawnili takich informacji publicznie na swoich kontach” – opublikowali analitycy we wpisie. „Nie wiadomo, w jaki sposób firma SocialArks mogła uzyskać dostęp do takich danych… Nie jest jasne, w jaki sposób firma zdołała pozyskać prywatne dane z wielu zabezpieczonych źródeł… Ponadto, serwer firmy pozostawał całkowicie niezabezpieczony”.

Baza danych została zabezpieczona przez SocialArks tego samego dnia, w którym analitycy powiadomili firmę o tym problemie.

Podobne naruszenie danych w SocialArks miało miejsce w sierpniu i dotknęło wówczas 66 milionów użytkowników LinkedIn, 11,6 miliona kont Instagram i 81,5 miliona kont Facebook – łącznie około 150 milionów użytkowników wspomnianych portali społecznościowych. Na ujawnione informacje składały się również pozyskane, publicznie dostępne dane, takie jak pełne imię i nazwisko, kraj zamieszkania, miejsce pracy, stanowisko, dane abonenta i dane kontaktowe, a także bezpośrednie linki do profili.

Eksperci ostrzegali, że posiadanie centralnego repozytorium takich informacji otwiera drzwi do masowych, zautomatyzowanych ataków z zakresu inżynierii społecznej.

„Większość danych jest całkowicie nieszkodliwa i wykorzystywana przez twórców stron internetowych, analityków wywiadu gospodarczego, uczciwe firmy, a także w celach badania rynku w Internecie”, stwierdzili naukowcy. „Jednakże, nawet jeśli takie dane są pozyskiwane legalnie – jeśli są przechowywane bez odpowiedniego zabezpieczenia w cyberprzestrzeni, mogą wystąpić duże wycieki dotykające milionów ludzi”. Kiedy prywatne informacje, w tym numery telefonów, adresy e-mail i informacje o osobach są wykradane, hakerzy mają otwartą drogę do popełniania przestępstw, w tym kradzieży tożsamości i oszustw finansowych”.