I dati di 235 milioni di profili Instagram, TikTok e YouTube sono stati pubblicati online

Share

L’archivio scoperto online e rimosso in questi giorni contiene nomi, cognomi, indirizzi email, fotografie e altre informaizoni degli utenti delle tre piattaforme. I dati non sono stati ottenuti tramite intrusioni informatiche ma erano stati tenuti pubblici dagli stessi utenti, che ora potrebbero finire vittime di truffe e furti di identità.

Le informazioni personali di 235 milioni di utenti Instagram, TikTok e YouTube sono rimaste online potenzialmente visibili a chiunque in una immensa banca dati priva di protezione. La scoperta l’hanno fatta i ricercatori di Comparitech, che in una delle loro attività online hanno scovato sul web un archivio contenente nomi, cognomi, indirizzi email, fotografie e altre informaizoni di contatto — tutto stoccato senza protezioni e dunque potenzialmente a disposizione di chiunque tentasse di accedervi.

Secondo Comparitech, dietro alla compilazione dell’archivio ci sarebbe Deep Social, un’azienda non più in attività specializzata nel costruire grandi archivi di dati personali a scopo commerciale. In effetti i dati finiti online non sono stati ottenuti tramite tecniche di intrusione informatica; la raccolta insomma non è stata opera di hacker, ma di un’operazione che si definisce web scraping. In questa pratica si istruiscono degli algoritmi a visitare in automatico il maggior numero possibile di pagine legate a un sito e scaricare tutte le informazioni presenti in quelle pagine: non si tratta di un attacco informatico, ma di un’attività che comunque la maggior parte delle piattaforme di condivisione vieta espressamente.

Nel caso di Instagram il web scraping può portare infatti a fare incetta delle informazioni presenti in tutti i profili pubblici, tra le quali figurano preudonimi, nomi e cognomi, biografie e perfino tutte le fotografie caricate e quelle nelle quali si è stati taggati; per TikTok e YouTube può avvenire lo stesso, ma con una lista dei video pubblicati. Le informazioni ottenute durante le attività denunciate da Comparitech sono state utilizzate per compilare banche dati ordinate con liste di nomi, date di nascita e l’eventuale materiale multimediale connesso ai singoli utenti.

I responsabili di Deep Social hanno indirizzato le domande dei ricercatori di Comparitech a Social Data, un’altra azienda che ha però negato ogni legame con Deep Social, pur tenendo a sottolineare che le informazioni contenute nell’archivio emerso online non sono state ottenute tramite hacking. Ciononostante, i frutti della raccolta effettuata sono decisamente pericolosi: se nelle mani di Deep Social l’archivio poteva servire a valutare le attività degli influencer sulle tre piattaforme (questo lo scopo dichiarato dall’azienda quando era in attività), averlo lasciato online privo di protezioni ha fatto in modo che chiunque potesse metterci le mani. Potenziali truffatori e malintenzionati potrebbero ad esempio utilizzare i nomi, i cognomi, le foto e i video nell’archivio per truffe di phishing automatizzate e altre tipologie di raggiri, impersonando online le vittime della fuga di dati.

FanPage