235 millions de profils d’utilisateurs Insta, TikTok et YouTube exposés en ligne
Les bases de données non sécurisées deviennent rapidement un problème de protection des données si énorme. Le 1er aout 2020, un rapport de Bureau d’études britannique Comparitech révèle qu’une entreprise enregistrée à Hong Kong qui vend des données sur les influenceurs des médias sociaux a exposé jusqu’à 235 millions de profils d’utilisateurs récupérés sur Instagram, TikTok et YouTube. Pas besoin de mot de passe ni aucune autre authentification requise pour y accéder.
Il s’agit de Social Data, une entreprise spécialisée dans la vente des données sur les influenceurs des médias sociaux à des spécialistes du marketing, qui a exposé cette base géante sur le web sans mot de passe ni aucune autre authentification requise.
235 millions de profils d’utilisateurs exposés: Comment est-ce passé?
Le rapport de Comparitech a précisé que les données étaient réparties sur plusieurs ensembles de données; le plus important étant deux venant à un peu moins de 100 millions chacun et contenant des enregistrements de profil apparemment extraits d’Instagram. Le troisième plus grand était un ensemble de données d’environ 42 millions d’utilisateurs TikTok, suivi d’un peu moins de 4 millions de profils d’utilisateurs YouTube.
Les données comprenaient une mine d’informations, notamment des noms, des coordonnées, des informations personnelles, des images et des statistiques sur les abonnés. Environ un enregistrement sur cinq contenait un numéro de téléphone ou une adresse e-mail.
Profils d’utilisateurs piratés: Le problème résolu dans trois heures environ
Les experts de Comparitech suggèrent que la plupart des données provenaient à l’origine d’une société aujourd’hui disparue: Deep Social, et ce en se basant sur les noms des ensembles de données Instagram. C’est celle ci qui a collecté ces données avant de faire faillite en 2018.
Sur cette base, Deep Social a été contacté au premier pour divulguer l’exposition et ses administrateurs ont transmis la divulgation à Social Data. On ne sait pas combien de temps la base de données a été laissée ouverte à quiconque. Le directeur technique de Social Data a reconnu l’exposition et les serveurs hébergeant les données ont été supprimés environ trois heures plus tard.
Il est utile de savoir que Facebook et Instagram ont interdit Deep Social de leurs API marketing en 2018 et ont menacé de poursuites judiciaires contre lui s’il continuait à extraire des données des profils de leurs utilisateurs. Deep Social a ensuite annoncé qu’il mettrait fin à ses activités et a depuis fermé son service d’origine.
Comparitech nie tout lien entre Social Data et Deep Social.
La collecte d’informations affichées publiquement à partir des services de médias sociaux n’est pas illégale, bien que la plupart des entreprises de médias sociaux l’interdisent dans leurs conditions de service et se réservent le droit de bloquer de telles activités. Selon Comparitech, Deep Social s’est présentée comme une plate-forme d’analyse fournissant un aperçu des «influenceurs» des médias sociaux pour des entreprises clientes de haut niveau. Social Data, qui contient désormais la base de données, semble faire plus ou moins la même chose.
Attention !
Pour vous assurer que vos données personnelles ne finissent pas par être détournées, il est fortement conseillé de minimiser la quantité d’informations que vous affichez publiquement sur Facebook, Instagram, TikTok, Twitter, YouTube et d’autres sites de médias sociaux.
(35)
