La empresa de ciberseguridad Comparitech identificó una base de datos de 235 millones de perfiles de redes sociales expuestos en la web. La base de datos provino de Social Data, una empresa que ofrece servicios de marketing digital. Los datos incluidos nombres, información de contacto, imágenes y estadísticas de seguidores.

Cómo se accedió a los datos

Los datos se tomaron de perfiles públicos en YouTube, TikTok e Instagram mediante una técnica conocida como «Extracción de información» o raspado web, que es una tarea automatizada que copia datos e información de páginas web de forma masiva para luego agrupar, clasificar y compilar toda esa información en una base de datos. En este sentido, Social Data señaló que solo obtuvo información de acceso público. Sin embargo, esa práctica va en contra de los términos de uso de Facebook, Instagram, TikTok y YouTube, como se destaca en el informe Comparitech.

Los sistemas automatizados de raspado web pueden ser difíciles de distinguir de los visitantes humanos del sitio web, por lo que Las empresas de redes sociales tienen dificultades para evitar que accedan a los perfiles de usuario.

La investigación, realizada por Bob Diachenko de Comparitech, reveló que la base de datos estaba disponible en la web y No tenia proteccion: sin contraseña ni ningún otro medio de autenticación. Este incidente se informó el 1 de agosto. El CTO de Social Data reconoció la exposición y los servidores que alojaban los datos se eliminaron tres horas después.

“Recopilamos datos y los enriquecemos con información adicional útil únicamente en nombre de nuestros clientes acreditados, que los utilizan estrictamente para el propósito previsto. Es muy triste que este incidente haya ocurrido debido a una combinación de hechos desafortunados. Sin embargo, Tan pronto como nos enteramos del incidente, lo solucionamos de inmediato. Desde entonces, hemos estado trabajando en estrecha colaboración con expertos en seguridad de la información para auditar nuestra infraestructura de seguridad. y aumentar los niveles requeridos de seguridad de la información para evitar eventos similares en el futuro «, explicó Social Data a la revista. Forbes.

No se sabe por cuánto tiempo estuvo expuesta la información. El mayor riesgo es que esta información pueda usarse para engañar robo de identidad (phishing) que son un puente para robar el acceso a los perfiles de las cuentas. También podría utilizarse para lanzar campañas de spam.

Los datos se distribuyeron en varios conjuntos; los más importantes son dos con casi 100 millones de datos cada uno, que contienen registros de perfiles extraídos de Instagram. El tercer elemento es un conjunto de datos de aproximadamente 42 millones de usuarios de TikTok, seguido por 4 millones de perfiles de usuario de YouTube.

Como sucedio todo

La evidencia sugiere que muchos de los datos provienen originalmente de una empresa ahora desaparecida, Deep Social. Facebook e Instagram privaron a Deep Social del acceso a sus API de marketing en 2018 y amenazaron con emprender acciones legales en su contra si continuaba extrayendo datos de los perfiles de sus usuarios.. Deep Social anunció más tarde que cerraría sus operaciones y desde entonces dejó de brindar servicios. Cabe señalar que, según la declaración de Comparitech, Social Data niega cualquier conexión entre ellos y Deep Social.

Desde Social Data le dijeron al investigador Diachenko que la información que aparece en la base de datos filtrada son datos de conocimiento público. En este sentido agregaron que “Cualquiera podría realizar ataques de phishing o contactar a quien indique su teléfono y correo electrónico en la descripción de su perfil de red social incluso sin la existencia de la base de datos.”.

Sin embargo, desde Comparitech advierten que “aunque la información está disponible públicamente, el tamaño y alcance de una base de datos agregada la hace más vulnerable a ataques masivos de lo que (esa información) sería aislada ”.

Qué medidas de precaución tomar

Las empresas que tienen bases de datos en la nube deben asegurarse de que el acceso a esta información no esté disponible para todos. Es importante que se tomen medidas de seguridad para que estos datos no queden expuestos. En este sentido, es fundamental contar con un equipo de ciberseguridad encargado de supervisar y auditar estas tareas.

En cuanto a los usuarios, lo ideal es no aportar demasiada información personal en sus perfiles de redes sociales. Hay opciones para configurar cuentas de forma privada. Pero en el caso de quienes utilizan estos perfiles para trabajar o difundir su trabajo, esto puede resultar más complicado.

En estos casos lo que tienes que hacer es tener cuidado de no caer en ningún tipo de engaño y tomar las precauciones básicas de seguridad que debe tomar cualquier usuario.: no use la misma contraseña en todos los sitios, utilizar autenticación de segundo factor, nunca proporcione información confidencial (contraseña, número de tarjeta de crédito, claves de banca desde casa, etc.) por teléfono o correo a nadie. Es fundamental recordar que los bancos nunca pedirán las claves por correo o teléfono, evitarán descargar archivos adjuntos de usuarios desconocidos o ingresar enlaces que lleguen por cualquier medio con supuestas ofertas o beneficios.

MÁS SOBRE ESTE TEMA:

Se filtró la base de datos de uno de los servicios de alojamiento más grandes de la web oscura

Cómo saber si la contraseña que usa se filtró en línea