Een cloudconfiguratiefout bij een Chinese startup legde de persoonlijke gegevens bloot van ten minste 214 miljoen gebruikers van sociale media, waaronder beroemdheden, hebben onderzoekers gewaarschuwd.

De privacy-snafu vond plaats bij socialemediabeheerbedrijf Socialarks, dat vorig jaar augustus een soortgelijk incident leed toen 150 miljoen gebruikers werden blootgesteld, volgens Safety Detectives.

Deze keer kwam een ​​team onder leiding van Anurag Sen tijdens een routinematige IP-scan een Elasticsearch-database tegen die volledig open was gebleven zonder enige wachtwoordbeveiliging of codering.

De 408GB-trove bevatte in totaal meer dan 318 miljoen records, hoewel het exacte aantal getroffen gebruikers nog steeds niet bekend is gezien de omvang van het lek. Wat de onderzoekers wel weten, is dat het illegaal is geschraapt uit social media profielen op Facebook, Instagram en LinkedIn, in strijd met het beleid op die sites.

Ze ontdekten bijna 12 miljoen Instagram-gebruikersprofielen, waaronder namen, telefoonnummers, gebruikersnamen, e-mailadressen, profielfoto’s en locaties.

De trove bevatte ook gegevens over 82 miljoen Facebook-profielen, waaronder volledige namen, e-mailadressen, telefoonnummers, Messenger-ID’s, afbeeldingen en meer.

Ten slotte ontdekten de onderzoekers 66 miljoen LinkedIn-gebruikersprofielen met volledige namen, e-mailadressen, functieprofielen en bedrijfsnamen, naast andere gegevenspunten.

Safety Detectives zeiden dat het onduidelijk was hoe persoonlijke informatie, zoals telefoonnummers en e-mailadressen, werd verkregen door Socialarks, aangezien de scraping-tools alleen openbaar beschikbare informatie hadden moeten verwijderen.

“In sommige gevallen kunnen geschraapte gegevens worden bewapend om een ​​specifiek doel te bereiken, namelijk het extraheren van persoonlijke informatie voor criminele doeleinden. Mogelijke gevolgen van het openbaar maken van persoonlijke informatie zijn onder meer identiteitsdiefstal en financiële fraude op andere platforms, waaronder online bankieren, ”waarschuwde het bedrijf.

“Contactinformatie kan worden gebruikt om mensen te targeten met gerichte oplichting, waaronder het verzenden van gepersonaliseerde e-mails met andere persoonlijke informatie over het doelwit, waardoor hun vertrouwen wordt gewonnen en de weg wordt geëffend voor een diepere inbreuk op hun privacy.”

Hoewel Socialarks nooit heeft gereageerd op het onderzoeksteam, heeft het het lek op 14 december, de dag waarop het werd gemeld, verholpen.

Categorieën: NIEUWS

0 reacties

Geef een reactie