Uma corretora de dados de mídia social, que não teve o nome revelado, expôs os perfis de 235 milhões de usuários que estavam em um banco de dados online mal configurado, de acordo com pesquisadores da empresa de segurança cibernética Comparitech. Ela se uniu a Volodymyr “Bob” Diachenko, especialista em inteligência contra ameaças cibernéticas e jornalista do SecurityDiscovery.com, blog de pesquisas em segurança cibernética, para descobrir três cópias idênticas dos dados em 1º de agosto, deixadas online sem senha ou outra autenticação necessária para acessá-los.
No total, 192 milhões de perfis foram retirados do Instagram, 42 milhões do TikTok e 4 milhões do YouTube. Cada registro continha nome do perfil, nome real, foto do perfil, descrição da conta, idade, sexo e muito mais. Cerca de um quinto dos perfis também continha número de telefone ou endereço de e-mail, de acordo com a Comparitech.
Embora as informações pessoais contidas nesse banco de dados estivessem disponíveis publicamente, empresas de mídia social como o Facebook ameaçaram com ações judiciais no passado contra empresas de coleta automatizada de dados que posteriormente vendem suas coleções para profissionais de marketing.
A Comparitech disse que, embora o acesso ao banco de dados exposto tenha sido encerrado três horas após a primeira divulgação, não está claro por quanto tempo as informações permaneceram online sem uma senha. A empresa alertou que, se descoberto, o banco de dados poderia ter sido usado por spammers ou para tornar os ataques de phishing mais convincentes.
Veja isso
Contas do Twitter e Instagram são hackeadas
Pesquisa mostra fragilidades de segurança em redes sociais
Os dados foram rastreados até a Social Data, empresa que aparentemente vende dados sobre influenciadores de mídia social para profissionais de marketing. A Comparitech diz que foi difícil apontar se as informações expostas foram obtidas de perfis disponíveis publicamente, embora sua consolidação em um único banco de dados torne-o uma perspectiva mais atraente para os cibercriminosos.
A Comparitech também afirmou que a “evidência” sugere uma conexão entre os dados e uma empresa agora extinta conhecida como Deep Social, que foi removida das APIs de marketing do Facebook e Instagram em 2018 e ameaçada com uma ação legal. A Social Data nega qualquer conexão entre as duas empresas, embora alguns dos conjuntos de dados originais tenham sido rotulados da seguinte forma: “accounts-deepsocial-90” e “accounts-deepsocial-91”.
