信息安全公司(Infosecurity)透露,安全研究人员发现,在一家分析公司无意中将200多万社交媒体用户资料暴露在网上后,他们从互联网上窃取了这些资料。
以上问题由Anurag Sen领导的一个审查网站安全的小组发现,这些数据位于配置错误的Elasticsearch服务器上,没有任何密码保护或加密。
审查网站安全小组很快将超过260万份TikTok和Instagram档案中的3.6GB记录追溯到了IGBlade,这是一家为其客户提供社交媒体用户营销见解的公司。
研究人员写道:“服务器上用户的抓取数据与每个用户对应的IGBlade.com页面上的数据相同,数据库通常提供指向IGBlade的链接。”。“这就是我们如何知道数据库属于IGBlade.com的原因。”
尽管数据抓取并不违法,而且公开数据库中包含的所有用户信息都是公开的,但它违反了TikTok和Instagram的服务条款。
此次泄密也可能对网络罪犯有利,他们可以通过在一个地方收集大量用户信息来加速大规模社会工程和欺诈活动。
根据报告,在研究小组发现并联系IGBlade之前,暴露的信息在网上公开了一个多月。
这些资料包括全名和用户名、个人资料图片、“关于”的详细信息、电子邮件地址、电话号码和位置数据。包括Alicia Keys、Ariana Grande、Kim Kardashian、Kylie Jenner和Loren Gray在内的名人都卷入了隐私问题。
安全侦探声称,这一披露可能会让IGBlade与这两家社交媒体巨头陷入麻烦。
除此之外,如果犯罪分子掌握了泄露的数据,他们可以将其用于后续的网络钓鱼攻击和大规模机器人诈骗。研究人员声称,他们甚至可以利用这些被刮下来的个人资料图片来创建新的虚假账户,用于虚假信息和诈骗活动。
SafetyDetectives说:“由于信息都存储在同一个地方,数据抓取可以让数千或数百万用户即时访问。例如,在数据库中导航日志比在社交媒体网站上的每个用户之间导航要快得多。”。
“在这种情况下,网络罪犯可以将数据抓取作为网络犯罪的促进剂而不是推动者。它可以加快黑客犯罪活动的速度和范围。”
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。