研究人员称,这批个人隐私数据未经认证就可被人公开访问。
尽管我们平时尽最大努力保护自己的个人信息,但由于社交媒体网络的存在,很多信息被暗地里公布。
这是非法的,过去许多机构和个人将其用于市场营销,大量搜集了个人数据信息。暗中收集数据的罪魁祸首主要是社交媒体机构,它们会向营销人员提供目标用户的数据访问权限。
但是,最近出现了巨大的失误,Comparitech的Bob Diachenko找到了一公司于8月1日被公开的数据库,包含以下社交网络2.35亿用户个人资料:
- instagram –2个数据集共192,392,954条记录
- TikTok – 42,129,799记录
- YouTube – 3,955,892记录
部分公开数据如下:
泄露数据的屏幕截图(来源:Comparitech)
数据泄露起源于一家名为Deep Social的非规运作公司,据称它与Social Data没有任何联系,但是Deep Social过去以非法数据抓取而臭名昭著。
公开的数据包括用户名,全名,联系信息,图像,关注者统计信息,年龄,性别以及其他一些详细信息,全被挂在网上毫无遮拦,根据常识大家都知道,社交媒体网络应禁止使用这样的违法操作和泄露。
(提供者:Comparitech)
但是,这次的社交数据泄露与以往有所不同,发言人指出:
请注意,个人隐私数据被黑客入侵意味着信息被秘密非法渠道获得。而这次的事件很奇怪,所有人都可以免费访问这些被公开的个人隐私数据。
社交网络将数据公开给外部人,还有这样一个可怕之处:公开个人资料后。一些居心不良的从未注册的用户会将这些被公开的帐户数据设为私有。
目前,在此报告发布之后,该数据库已脱机,但是我们仍然不确定谁之前有多少人访问了数据。
如果威胁行为者发现了这些数据,他们可能会将数据用于一系列恶意攻击,例如,简单的网络骚扰和恶意推销,上升到鱼叉式网络攻击和恶意邮件攻击,甚至是复杂攻击的社会工程攻击。
对于未来,我们希望社交网络可以进一步改进其数据抓取的举动,增加自动抓取器逃逸检测,避免隐私数据被不良用心者抓包。
由于配置错误的数据库在过去几年中暴露了数十亿条敏感记录,因此该事件不足为奇。实际上,这种情况非常严重,根据调查,数据库配置错误是对云安全性的头号威胁。
请记住,LexisNexis和Pipl.com被称为世界上最大的法律搜索引擎,却在去年在线上被公开了数据库。黑客花了几天的时间访问了这两个数据库,最终将它们在线销售。