Nelle scorse ore, il team di ricercatori di SafetyDetectives, società che offre anche recensioni sull’affidabilità dei principali antivirus, ha riferito di aver trovato online un archivio sprotetto riguardante i dati di 2.6 milioni di utenti di TikTok e Instagram: ecco di cosa si tratta, e le possibili conseguenze di quest’episodio attinente al tema della sicurezza digitale.
Secondo quanto riferisce il responsabile di SafetyDetectives, l’esperto di sicurezza Anurag Sen, l’archivio online, dal peso di 3.6 GB, sarebbe stato ospitato su un server Elasticsearch che, però, apparirebbe configurato male quanto a sicurezza, visto che non sarebbe stato lucchettato con una password, tal che i dati contenuti nel detto archivio sarebbero stati accessibili a tutti per oltre un mese prima d’essere stati scoperti (il 5 Luglio) e segnalati, per un pronto fix (avvenuto effettivamente il giorno dopo), alla società che controlla il database.
Quest’ultima, identificata da collegamenti (IGBlade.com) e riferimenti in IGBlade, è nota per fornire ai clienti strumenti marketing d’approfondimento, come le statistiche, per identificare gli utenti social più popolari: nel caso specifico, i dati dell’archivio non sarebbero stati raccolti mediante un attacco o qualcosa di simile, ma tramite programmi legali di data scraping che, cioè, dragano la rete alla ricerca di info pubblicamente rese disponibili, come il numero di follower, l’ID profilo, il nickname, la descrizione della Bio e l’immagine del profilo.
Questo, però, secondo InfoSecurity Magazine, potrebbe esporre comunque IGBlade a problemi nei riguardi dei due social in questione, visto che il data scraping viola i loro termini di servizio.
Entrando nel dettaglio di ciò che era contenuto nell’archivio da 3.6 GB scoperto online sprotetto, si è appurato che lo stesso stoccava dati sensibili (anche di persone famose, basti pensare ad Ariana Grande, Alicia Keys, Kylie Jenne, Loren Gray, e Kim Kardashian) come nomi completi, nomi utente, dati sulla posizione, numero di telefono, indirizzo email, accessibili pubblicamente a tutti con la conseguenza che, eventuali hacker che avessero interpellato il database, avrebbero potuto servirsene per programmare truffe, furti d’identità e campagne di phishing basate sull’ingegneria sociale.