来自世界各地的2.14亿社交媒体用户的超过400GB公共的或私人档案数据被泄露在了互联网上,其中包括了美国和其他地方的一些名人和社交媒体作者的详细信息。
Safety Detectives的研究人员称,此次信息的泄露源是社交媒体管理公司SocialArks所拥有的一个配置错误的ElasticSearch数据库,其中包括了Facebook、instagram、LinkedIn和其他平台用户的个人身份信息(PII)。
研究人员表示,在对可能存在风险的数据库进行例行IP检查时,发现该服务器在没有密码保护或加密的情况下被公开了。其中总共包含了超过3.18亿条数据记录。
SocialArks的数据管理平台主要用于广告程序化和营销。它自称是一家 "跨界社交媒体管理公司,致力于解决当前中国外贸行业的品牌建设、市场推广、营销、社会化客户管理等问题。"
受到影响的服务器由腾讯公司来托管,为了存储从每个社交媒体上获取到的数据,该服务器上的数据都被添加上了数据索引,这使得研究人员可以进一步的研究数据。
研究人员在周一的一篇博客文章中说:
- 我们的研究团队能够确定,泄露的全部数据都是从社交媒体平台上'搜集'出来的,这既不道德,也违反了Facebook、instagram和LinkedIn的服务条款。
被搜集的资料中包括了11,651,162份instagram用户资料;66,117,839份LinkedIn用户资料;81,551,567份Facebook用户资料;其中的55,300,000份Facebook资料,在服务器被发现后的几个小时内删除了。
这些公开的个人数据资料包括个人简历、个人资料图片、追随者总数、位置设置、电子邮件地址和电话号码等联系方式、评论数量、常用标签、公司名称、工作职位等。
nVisium公司首席执行官Jack Mannino告诉Threatpost:
- 出于营销目的而搜集的社交媒体数据会不可避免的包含一些敏感信息,对于每一个使用社交媒体的人来说,有非常多的人公开分享过他们的私人生活。为了保护自己,请限制别人对你的个人资料和媒体资料的访问权限,理智地在网上发布内容,并谨慎地授予那些可能滥用、误用或窃取你的信息的应用程序权限。
然而,除了整理公开的数据外,该数据库还包含了很多社交媒体用户的私人数据。
研究人员说:
- SocialArks的数据库中存储了instagram和LinkedIn用户的个人数据,比如用户的私人电话号码和电子邮件地址,这些用户并没有在他们的账户上公开透露这些信息,SocialArks当初是如何可能获得这些数据的,仍然是个未知数......目前仍然不清楚该公司是如何设法从众多的信息源中获得私人数据的......此外,该公司的服务器安全性很差,完全没有安全保障。
为了获得更多信息,Threatpost已经联系了SocialArks。
在Security Detectives向该公司发出警告的当天,SocialArks就已经对数据库进行了安全加固。
SocialArks在8月份也曾遭遇过类似的数据泄露事件,受影响的有6600万LinkedIn用户、1160万instagram账号和8150万Facebook账号,共计约1.5亿人。被曝光的信息还包括搜集来的公开数据,如姓名、居住地、工作地点、职位、订阅者数据和联系信息,以及个人资料等信息。
专家警告说,那些存储此类泄露的信息的数据库,会为大批量、自动化的社交工程攻击提供便利。
研究人员说:
- 大多数的数据收集是完全无害的,由网络开发人员,商业智能分析师,可靠的企业,比如旅行预订者网站来操作的,是为了市场研究而进行的合法的行为,然而,即使这些数据是合法获得的,如果在没有在足够安全的网络环境下进行存储,很可能会发生影响数百万人的大面积的信息泄露。当电话号码、电子邮件地址和出生信息在内的私人信息被泄露出去时,犯罪分子就有可能进行身份资料盗窃和金融诈骗等一系列的犯罪行为。
新网科技公司全球副总裁Dirk Schrader表示,收集的数据,无论是公共信息还是私人信息,这些信息本身就足够令人好奇。
他告诉Threatpost:
- 用户的个人资料以前也被大规模的收集过,该领域的巨头通常会试图阻止大规模的信息收集活动。但是为什么在这次没有成功,这个事情确实是非常有意思。作为一个可能会因为信息泄露事件而受到影响的LinkedIn用户,我本身的选择是有限的。要么我接受对于我的信息收集,要么我减少在平台上填写资料,但这在一定程度上限制了我进行商业联系。用户提供多少信息是他们自己的选择。数据收集本身,尤其是当收集到的数据存放网络环境安全性很差的情况下,会增加被恶意攻击的可能性。
本文翻译自:https://threatpost.com/social-profiles-leaked-chinese-data-scrapers/162936/如若转载,请注明原文地址。