Los datos de 235 millones de usuarios de YouTube, Instagram y Tik Tok quedaron expuestos en la web

Se trata de una filtración de una compañía que presta servicios de marketing digital. La información incluía nombres, datos de contacto, imágenes y estadísticas sobre seguidores de los perfiles. Una empresa de ciberseguridad reportó el problema y a las 3 horas se bajaron los servidores que alojaban los datos

Guardar
Un ejemplo que muestra cómo se puede "raspar datos" de la web (Comparitech)
Un ejemplo que muestra cómo se puede "raspar datos" de la web (Comparitech)

La empresa de ciberseguridad Comparitech identificó una base de datos de 235 millones de perfiles de redes sociales expuestos en la web. La base de datos provenía de Social Data, una empresa ofrece servicios de marketing digital. Los datos incluían nombres, información de contacto, imágenes y estadísticas sobre seguidores.

Cómo se accedió a los datos

Los datos se tomaron de perfiles públicos en YouTube, TikTok e Instagram por medio de una técnica conocida como “raspado de información” o web scraping, que es una tarea automatizada que copia datos e información de páginas web de forma masiva para luego agrupar, ordenar y compilar toda esa información en una base de datos. En este sentido, Social Data remarcó que solo obtuvo información de acceso público. De todos modos, esa práctica va en contra de los términos de uso de Facebook, Instagram, TikTok y YouTube, según se destaca en el informe de Comparitech.

Los sistemas automatizados de web scraping pueden ser difíciles de distinguir de los visitantes humanos del sitio web, por lo que las empresas de redes sociales tienen dificultades para evitar que accedan a los perfiles del usuario.

La investigación, a cargo de Bob Diachenko de Comparitech, dejó en evidencia que la base de datos estaba disponible en la web y no tenía ningún tipo de protección: ni contraseña ni ningún otro medio de autenticación. Este incidente fue informado el 1 de agosto. El CTO de Social Data reconoció la exposición, y los servidores que alojaban los datos fueron eliminados tres horas después.

“Recopilamos datos y los enriquecemos con información útil adicional únicamente en nombre de nuestros clientes acreditados, que los utilizan estrictamente para los fines previstos. Es extremadamente triste que este incidente haya ocurrido debido a una combinación de eventos desafortunados. Sin embargo, tan pronto como nos enteramos del incidente, lo solucionamos de inmediato. Desde entonces, hemos estado trabajando de cerca con los expertos en seguridad de la información para auditar nuestra infraestructura de seguridad y aumentar los niveles requeridos de seguridad de la información para evitar sucesos similares en el futuro“, explicaron dese Social Data a la revista Forbes.

No se sabe durante cuánto tiempo la información estuvo expuesta. El mayor riesgo es que esa información podría ser utilizada para hacer engaños de suplantación de identidad (phishing) que son un puente para lograr robar accesos a perfiles de cuentas. También se podría emplear para lanzar campañas de spam.

Los datos se distribuyeron en varios conjuntos; los más importantes son dos con casi 100 millones de datos cada uno, que contienen registros de perfiles extraídos de Instagram. El tercer ítem es un conjunto de datos de unos 42 millones de usuarios de TikTok, seguido de unos 4 millones de perfiles de usuario de YouTube.

La información pública podría usarse para ataques de phishing o suplantación de identidad que consiste en engañar al usuario para que provea sus constraseñas y otra información confidencial
La información pública podría usarse para ataques de phishing o suplantación de identidad que consiste en engañar al usuario para que provea sus constraseñas y otra información confidencial

Cómo surgió todo

La evidencia sugiere que muchos de los datos provenían originalmente de una empresa ya extinta, Deep Social. Facebook e Instagram le quitaron a Deep Social el acceso a sus API de marketing en 2018 y amenazaron con emprender acciones legales en su contra si continuaba extrayendo datos de los perfiles de sus usuarios. Deep Social luego anunció que cerraría sus operaciones y desde entonces dejó de prestar servicios. Cabe señalar que, según consta en el comunicado de Comparitech, Social Data niega cualquier conexión entre ellos y Deep Social.

Desde Social Data le dijeron al investigador Diachenko que la información que figura en la base de datos filtrada son datos de público conocimiento. En este sentido añdieron que “cualquiera podría realizar ataques de phishing o contactar a cualquier persona que indique su teléfono y correo electrónico en la descripción de su perfil de red social incluso sin la existencia de la base de datos”.

Sin embargo, desde Comparitech advierten que “aunque la información está disponible públicamente, el tamaño y el alcance de una base de datos agregada la hace más vulnerable a ataques masivos de lo que sería (esa información) aislada”.

Qué medidas de precaución tomar

Las empresas que tiene bases de datos en la nube deberían asegurarse de que el acceso a esta información no esté al alcance de cualquiera. Es importante que se tomen medidas de seguridad para que esos datos no queden expuestos. En este sentido es fundamental contar con un equipo de ciberseguridad que se ocupe de supervisar y auditar estas tareas.

En cuanto a los usuarios, lo ideal es no proveer demasiada información personal en su perfiles de redes sociales. Existen opciones para configurar las cuentas de modo privado. Pero en el caso de quienes usan estos perfiles para trabajar o difundir su trabajo esto puede ser más complicado.

En esos casos lo que hay que hacer es estar atento para evitar caer en cualquier tipo de engaño y tomar las precauciones básicas de seguridad que debería tomar cualquier usuario: no emplear la misma contraseña en todos los sitios, utilizar segundo factor de autenticación, nunca proporcionar información sensible (contraseña, número de tarjeta de crédito, claves de home banking, etc) por teléfono ni mail a nadie. Es fundamental recordar que los bancos no vana pedir nunca las claves por correo ni teléfono, evitar descargar adjuntos de usuarios desconocidos o ingresar a links que llegan por cualquier vía con supuestas ofertas o beneficios.

MÁS SOBRE ESTE TEMA:

Guardar