
Una violazione espone i dati di più di 235 milioni di utenti tra TikTok, Instagram e YouTube
Secondo quanto è stato recentemente scoperto, un database contenente dati di quasi 25 milioni di utenti di social network quali TikTok, YouTube e Instagram e, quindi, le informazioni di vario genere a loro legati, è stato esposto senza alcuna protezione e password.
La tecnica che sembrerebbe essere stata utilizzata è quella del web scraping, che consiste nell'estrazione di dati da un sito web utilizzando un programma software e permette l'accesso ai soli dati pubblici. Sebbene non sia illegale e allo stesso tempo sia una pratica molto usata dalle aziende che si occupano di raccolta database, le società dei social media tendono a vietarla proprio per proteggere i dati degli utenti che si iscrivono alla loro piattaforma.
Bob Diachenko, il principale ricercatore per la società di sicurezza Comparitech, ha scovato lo scorso 1° agosto tre copie identiche del database e, secondo quanto da lui dichiarato, i dati appartenevano a una società chiamata Deep Social, ormai inesistente. Quando ha tentato di mettersi in contatto con quest'ultima, la richiesta è stata inoltrata a una società di Hong Kong, la Social Data, che ha negato di aver qualsiasi tipo di collegamento con la società defunta e, inoltre, ha riconosciuto la violazione e ha chiuso l'accesso al database.
I dati avevano quattro set di informazioni principali con dettagli di milioni di utenti di TikTok, YouTube e Instagram. Comparitech ha affermato che ogni record conteneva alcuni o tutti i seguenti elementi:
- Nome del profilo
- Nome reale completo
- Foto profilo
- Descrizione dell'account
- Se il profilo appartiene a un'azienda o contiene annunci pubblicitari
- Statistiche sul coinvolgimento dei follower, tra cui:
- Numero di follower
- Tasso di coinvolgimento
- Tasso di crescita dei follower
- Sesso del pubblico
- Età del pubblico
- Posizione del pubblico
- Mi piace
- Timestamp ultimo post
- Età
- Genere
Bisogna sottolineare che molto spesso questo genere di dati viene utilizzato per lo spam e per campagne di phishing ed è quindi compito delle aziende preoccuparsi di mantenere sempre protetti i propri database.