:quality(85)//cloudfront-us-east-1.images.arcpublishing.com/infobae/RAVTJCZMHZGVLBTZIBK4DTO2FU.png)
La empresa de ciberseguridad Comparitech ha identificado una base de datos de 235 millones de perfiles de redes sociales expuestos en la web. La base de datos provino de Social Data, una empresa que brinda servicios de marketing digital. Datos incluidos nombres, datos de contacto, imágenes y estadísticas sobre suscriptores.
Cómo se accedió a los datos
Los datos se extrajeron de perfiles públicos en YouTube, TikTok e Instagram mediante una técnica conocida como «Eliminar información» o raspado web, que es una tarea automatizada que copia datos e información de páginas web a granel para agregar, clasificar y luego compilar toda esa información en una base de datos. En este sentido, Social Data señaló que solo estaba obteniendo información de acceso público. Sin embargo, esta práctica va en contra de los términos de uso de Facebook, Instagram, TikTok y YouTube, como señala el informe Comparitech.
Los sistemas de web scraping automatizados pueden ser difíciles de distinguir de los visitantes humanos del sitio web. Las empresas de redes sociales luchan por evitar que accedan a los perfiles de usuario.
La encuesta, realizada por Bob Diachenko de Comparitech, encontró que la base de datos estaba disponible en la web y No tenia proteccion: sin contraseña ni ningún otro medio de autenticación. Este incidente se informó el 1 de agosto. El CTO de Social Data reconoció la exposición y los servidores que alojaban los datos fueron eliminados tres horas después.
“Recopilamos datos y los enriquecemos con información adicional útil solo en nombre de nuestros clientes acreditados, que los utilizan estrictamente para los fines para los que fueron diseñados. Es muy triste que este incidente haya ocurrido debido a una combinación de eventos desafortunados. Sin embargo, Tan pronto como descubrimos el incidente, lo solucionamos de inmediato. Desde entonces, hemos estado trabajando en estrecha colaboración con expertos en seguridad de la información para auditar nuestra infraestructura de seguridad. y aumentar los niveles requeridos de seguridad de la información para evitar eventos similares en el futuro ”, dijo Social Data a la revista. Forbes.
No se sabe por cuánto tiempo estuvo expuesta la información. El mayor riesgo es que esta información pueda usarse para engañar robo de identidad (phishing) que son un puente para robar el acceso a los perfiles de la cuenta. También podría utilizarse para lanzar campañas de spam.
Los datos se dividieron en varios conjuntos; los más importantes son dos con casi 100 millones de datos cada uno, que contienen registros de perfil extraídos de Instagram. El tercer elemento es un conjunto de datos de aproximadamente 42 millones de usuarios de TikTok, Seguido por 4 millones de perfiles de usuario de YouTube.
:quality(85)//cloudfront-us-east-1.images.arcpublishing.com/infobae/K6JR3D3BGRAU7MNULVCPFSQISQ.jpg)
Como paso todo
La evidencia sugiere que la mayoría de los datos provienen originalmente de una empresa ahora desaparecida, Deep Social. Facebook e Instagram privaron a Deep Social del acceso a sus API de marketing en 2018 y amenazaron con emprender acciones legales en su contra si continuaba extrayendo datos de los perfiles de sus usuarios.. Deep Social luego anunció que cerraría sus operaciones y desde entonces dejó de brindar servicios. Cabe señalar que, según la declaración de Comparitech, Social Data niega cualquier conexión entre ellos y Deep Social.
Desde Social Data, le dijeron al investigador Diachenko que la información de la base de datos filtrada es de conocimiento público. En este sentido, agregaron que “Cualquiera podría llevar a cabo ataques de phishing o ponerse en contacto con cualquiera que incluya su teléfono y dirección de correo electrónico en la descripción de su perfil de red social, incluso sin la existencia de la base de datos.«.
Sin embargo, desde Comparitech, advierten que «aunque la información está disponible públicamente, el tamaño y el alcance de una base de datos agregada la hace más vulnerable a ataques masivos que (esta información) aislada ”.
Qué medidas de precaución tomar
Las empresas con bases de datos en la nube deben asegurarse de que el acceso a esta información no sea accesible para todos. Es importante que se tomen medidas de seguridad para que estos datos no queden expuestos. En este sentido, es fundamental contar con un equipo de ciberseguridad responsable de supervisar y auditar estas tareas.
En cuanto a los usuarios, lo ideal es no aportar demasiada información personal en sus perfiles de redes sociales. Hay opciones para configurar cuentas de forma privada. Pero en el caso de quienes utilizan estos perfiles para trabajar o distribuir su trabajo, puede resultar más complicado.
En estos casos, lo que debes hacer es tener cuidado de no caer en ningún tipo de engaño y tomar las precauciones básicas de seguridad que todo usuario debe tomar.: no use la misma contraseña en todos los sitios, utilizar autenticación de segundo factor, nunca comunique información sensible (contraseña, número de tarjeta de crédito, códigos de banca desde casa, etc.) por teléfono o por correo a nadie. Es fundamental recordar que los bancos nunca pedirán claves por correo o teléfono, evitar descargar archivos adjuntos de usuarios desconocidos o ingresar enlaces que vienen por todos los medios con supuestas ofertas o beneficios.
MÁS SOBRE ESTE TEMA:
Se ha filtrado la base de datos de uno de los mayores servicios de alojamiento en la web oscura.
Cómo saber si la contraseña que está utilizando se ha filtrado en línea
«Aspirante a especialista en café. Solucionador de problemas. Fanático de los viajes. Creador. Apasionado aficionado a la televisión».
