比较技术公司的安全研究团队今天披露了一个不安全的数据库如何导致近2.35亿Instagram、TikTok和YouTube用户档案在网上暴露,这只能被描述为大规模的数据泄露。
最近,出现在暗网网络犯罪论坛上的关于账户数据的报道接二连三。从黑暗网络审计显示目前10万次入侵中有150亿个登录被盗,到黑客免费提供3.86亿条被盗记录。并不是所有的这些数据都会被黑客攻击,至少不是通常意义上的:一些数据,就像犹他州枪支交易所事件中的情况,可能会被一个不安全的数据库暴露出来。
不安全的数据库正迅速成为如此巨大的数据保护问题,以至于它认为一名义务警员安全研究人员是一连串攻击的幕后黑手,这些攻击覆盖了数千个此类数据库的索引。8月1日,以鲍勃·迪亚琴科(Bob Diachenko)为首的比较技术研究人员发现了一个如此不安全的数据库,留下了近2.35亿Instagram、TikTok和YouTube用户的个人档案数据可供争夺。
这些数据分布在几个数据集上,其中最重要的是两个数据集,每个数据集的价格略低于1亿,其中包含显然是从Instagram上抓取的个人资料记录。第三大的是约4200万TikTok用户的数据集,紧随其后的是略低于400万的YouTube用户配置文件。
比较技术公司表示,根据它收集的样本,五分之一的记录要么包含电话号码,要么包含电子邮件地址。每条记录还包括至少部分(有时是全部)以下信息:
“比较技术”编辑保罗·比肖夫(Paul Bischoff)表示,这些信息可能对从事钓鱼活动的垃圾邮件发送者和网络罪犯最有价值。比肖夫补充说,尽管这些数据是可以公开访问的,但它作为一个结构良好的数据库被集中泄露,这一事实使其比每个个人资料孤立地更有价值,比肖夫补充道。事实上,比肖夫告诉我,机器人很容易使用这个数据库在任何Instagram个人资料匹配标准(如性别、年龄或关注者数量)上发布有针对性的垃圾评论。
那么,所有这些数据是从哪里来的呢?研究人员认为,包括数据集名称在内的证据指向一家名为Deep Social的公司。然而,在窃取用户档案数据后,Deep Social在2018年被Facebook和Instagram双双禁止。在这之后的某个时候,公司倒闭了。
Facebook公司的一位发言人告诉我,从Instagram上盗取人们的信息显然违反了我们的政策。我们于2018年6月撤销了Deep Social对我们平台的访问权限,并发出了法律通知,禁止进一步收集数据。
比肖夫说,一旦研究人员找到数据库和其来源的线索,我们就向Deep Social发出警报,假设这些数据属于他们。Deep Social的管理人员随后将这一信息转发给了一家在香港注册的社交媒体有影响力的数据营销公司Social Data。比肖夫说,社交数据在我们最初发邮件后大约三个小时就关闭了数据库。
根据比较技术公司的报告,社交数据否认自己与深度社交之间有任何联系。还应明确的是,数据泄露后,任何访问相关用户账户的人都可以访问社交媒体公共档案数据。然而,一旦将如此大量的个人资料收集到一个结构良好的数据库中,网络钓鱼的风险就会明显放大。目前还不知道在8月1日发现之前,数据库在没有密码的情况下暴露了多长时间。这份比较技术报告指出:我们的蜜罐实验表明,黑客可以在暴露后的几个小时内发现并攻击不安全的数据库。
我们仅代表信誉良好的客户收集数据,并以其他有用的见解丰富数据,这些客户严格按照预期目的使用这些数据。令人极为悲哀的是,这一事件的发生是由于各种不幸事件的交织。但是我们一知道这件事,就马上进行了修复。自那以后,我们一直与信息安全专家密切合作,对我们的安全基础设施进行审计,并提高所需的信息安全级别,以避免未来发生类似事件。
我还联系了TikTok和Google GOOGL,这两家公司在发表文章时都还在调查此事,无法发表声明。当然,如果情况发生变化,我会更新这篇报道。
与此同时,我会建议所有受影响服务的用户,包括Instagram、TikTok和YouTube,尤其要警惕通过电子邮件或以社交媒体评论形式发布的钓鱼诈骗。
同时,如果您的公司在云中有任何数据库,那么我强烈建议您审核访问权限,并确保这些数据库不对任何前来查看的人开放。Elastic有一个很好的指南来保护Elasticsearch部署。