Connect with us

Technologie

La fuite de données sur les médias sociaux met en évidence le monde trouble du grattage des données

Published

on


Une société qui vend des données sur les influenceurs des médias sociaux à des spécialistes du marketing a laissé une base de données non sécurisée d’informations tirées de 235 millions de comptes Instagram, TikTok et YouTube exposés sur le web sans aucune forme de mot de passe ou d’autres mesures d’authentification nécessaires pour y accéder, ce qui soulève des questions sur l’éthique de gratter les données accessibles au public.

C’est ce qu’affirme Bob Diachenko, de l’équipe de recherche sur la cybersécurité de Comparitech, qui a découvert trois copies identiques des ensembles de données accessibles depuis l’Internet public au début du mois d’août.

Les données comprenaient près de 200 millions de disques Instagram dans deux ensembles distincts, 42 millions de disques TikTok et quatre millions d’enregistrements YouTube. Il comprenait des noms de profil, des noms réels, des photos de profil, des descriptions de compte, l’état du profil, les statistiques d’engagement des suiveurs, ainsi que l’âge et le sexe du titulaire du compte. Diachenko a déclaré qu’un nombre important de dossiers contenaient également des coordonnées telles que des numéros de téléphone et des adresses e-mail.

L’incident soulève de sérieuses questions sur l’éthique des courtiers en données, et comment les données que les utilisateurs des médias sociaux mettent sur leurs comptes sont grattées, utilisées et magasinées.

L’enquête de Diachenko a d’abord semblé suggérer que les données provenaient d’une société appelée Deep Social, qui a été interdite des API marketing de Facebook et Instagram il y a deux ans et menacée de poursuites judiciaires si elle continuait à s’engager dans la pratique de copier des données et des informations à partir de profils de médias sociaux, ce qui est contraire aux conditions de service de toutes les plates-formes concernées.

Cependant, lorsque Deep Social a été contacté ses administrateurs transmis la divulgation à une autre société appelée Social Data, dont le directeur de la technologie a reconnu l’exposition et a ensuite supprimé les serveurs dans un couple d’heures.

Dans des courriels à Diachenko, Social Data a insisté sur le fait qu’elle n’avait pas obtenu l’information subrepticement, et que les données concernées avaient été librement accessibles à toute personne ayant accès à Internet, même sans ses activités, parce que l’information était accessible au public sur les plateformes de médias sociaux elles-mêmes.

Ouvrir les vannes

Néanmoins, a écrit Paul Bischoff de Comparitech dans un blog de divulgation, l’information est toujours vulnérable aux campagnes de spam et de marketing, et les utilisateurs des plates-formes devraient être à l’affût des escroqueries ou des messages d’hameçonnage.

« Même si l’information est accessible au public, la taille et la portée d’une base de données agrégée la rendent plus vulnérable aux attaques de masse qu’elle ne le serait isolément », a-t-il déclaré.

En plus de fournir des informations utiles pour les campagnes de phishing, a déclaré Bischoff, il ya d’autres risques pour les utilisateurs touchés. Par exemple, a-t-il dit, les images et les données d’influenceurs de haut niveau pourraient être utilisées pour créer de faux comptes d’imitation pour attirer les adeptes et promouvoir des escroqueries ou de la désinformation, ou leurs photos pourraient être utilisées pour former des algorithmes de reconnaissance faciale – comme cela a été fait par une société appelée ClearView AI, qui fait face à des poursuites judiciaires sur ses pratiques contraires à l’éthique.

Mark Bower, vice-président principal et spécialiste de la sécurité des données chez Comforte AG, a déclaré que même si les données exposées étaient pour la plupart accessibles au public, si elles étaient tombées entre les mains de cybercriminels, elles pourraient être utilisées comme accélérateur pour des attaques ciblées afin d’obtenir des informations plus précieuses.

« Des données personnelles spécifiques permettent un spear phishing plus efficace pour attaquer une entreprise avec des données à risque plus élevé et de plus grande valeur », a-t-il déclaré. « En fin de compte, les entreprises doivent à la fois protéger leurs propres données personnelles pour les neutraliser contre les risques de vol et de grattage, et s’assurer que les employés ne deviennent pas le vecteur d’exploits de la part d’attaquants qui ont des données plus exploitables sur eux que les entreprises auxquel ils font rapport. »

Chris DeRamus, vice-président de la technologie à l’unité de sécurité cloud de Rapid7, a ajouté : « Bien que la plupart des données utilisateur de cette fuite aient été accessibles au public sur les profils d’utilisateurs, le risque d’hameçonnage est amplifié en raison de l’accumulation importante de données utilisateur collectées dans les bases de données exposées. 235 millions d’utilisateurs des médias sociaux risquent d’être vendus sur le dark web en raison de bases de données non sécurisées, l’un des risques de sécurité les plus courants mais facilement évitables.

« Les entreprises doivent utiliser des outils de sécurité capables de détecter et d’corriger les mauvaises configurations (telles que les bases de données non sécurisées sans mot de passe) en temps réel, ou mieux encore – pour les empêcher de se produire en premier lieu. »

Facilité d’utilisation par rapport à la sécurité

Le PDG de Gurucul, Saryu Nayyar, a déclaré que cet incident parlait d’une énigme séculaire pour les utilisateurs des médias sociaux – le défi de trouver un équilibre entre leur capacité à utiliser la plate-forme efficacement et leur propre hygiène de cybersécurité.

« Nous devons supposer que nos informations échapperont aux tiers partis, alors combien peu d’informations pouvons-nous exposer et continuer à utiliser les services de médias sociaux sur lesquels nous sommes venus à compter? À tout le moins, il vaut la peine de séparer les adresses et les informations que nous associons à nos comptes critiques, tels que les banques ou la santé, de nos activités strictement sociales. Cela empêche l’un de faire un compromis direct de l’autr », a déclaré Nayyar.

Chloé Messdaghi, vice-présidente de la stratégie de sécurité de Point3, a déclaré que l’incident montrait à quel point il était important que les gens comprennent comment fonctionne le grattage des données et comment ils les mettent en danger.

« C’est essentiellement l’utilisation de renseignements personnels sans autorisation, à des fins lucratives », a-t-elle dit. « Il s’agit d’un acte contre le droit à la vie privée de l’individu et il expose tous ceux dont les données sont grattées à un risque accru d’attaque de la part des phishers. Les entreprises de grattage de données, peut-être involontairement, soutiennent les acteurs malveillants et permettent aux cybercriminels de faire ce qu’ils font.

« Les pirates respectent les termes et conditions des sites de médias sociaux, mais les entreprises de raclage de données et les acteurs malveillants ne le font pas – mais ces entreprises ne sont pas réglementées et n’ont pas de conséquences », a déclaré M. Messdaghi.

« Les grattoirs de données disent commodément que les données qu’ils grattent sont publiques, mais ne tiennent pas compte du fait que les sites de médias sociaux ont des termes et des conditions que les grattoirs ont tendance à ignorer… De toute évidence, lorsque le grattage est impliqué, les données personnelles que nous confions à une plate-forme ne reste pas sur cette plate-forme – malgré les propres politiques du site. »

En fin de compte, pour éviter de mettre vos données en danger sur une plate-forme de médias sociaux la meilleure option est de ne pas utiliser la plate-forme du tout – si ce n’est pas une option que vous pouvez faire face, la meilleure option suivante est de verrouiller votre profil aussi étroitement que possible, comme Social Data, la société au centre de cet incident, a déclaré lui-même dans sa réponse à Comparitech.

« Les réseaux sociaux eux-mêmes exposent les données à des étrangers – c’est-à-dire à leur activité – à ouvrir des réseaux publics et des profils. Les utilisateurs qui ne souhaitent pas fournir d’informations, rendent leurs comptes privés [sic]», a déclaré le cabinet.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending