235 millions de profils YouTube, TikTok et Instagram exposés par une base de données non sécurisée

 
Un chercheur en sécurité a trouvé une base de données contenant près de 235 millions de profils de réseaux sociaux extraits d’Internet, appartenant probablement à l’entreprise Social Data.
 
Les données publiques des utilisateurs sont précieuses et de nombreuses entreprises souhaitent les rassembler et les vendre. Les réseaux sociaux représentent l’une des meilleures sources d’informations. De nombreux utilisateurs gardent leurs profils ouverts, ce qui permet à des entreprises telles que Deep Social de collecter ces données et de les compiler davantage.
 
Bob Diachenko de Comparitech a trouvé trois copies identiques de la base de données en ligne, avec des profils tirés de YouTube, TikTok et Instagram. Alors que la base de données appartiendrait à Social Data, de nombreux indices mènent à Deep Social, une autre société utilisée pour récupérer des données à partir de sources en ligne, aujourd’hui disparue.
 
Une fois que les réseaux sociaux ont découvert les pratiques de Deep Social, ils ont interdit à leurs API de collecter des données, mais de nombreuses autres entreprises poursuivent ce type d’opération.
 
Selon Comparitech, les données contenaient des noms, des informations de contact, des informations personnelles, des images et des statistiques. Quelques heures après le signalement de l’incident, Social Data a supprimé les bases de données.
 
Il est facile de supposer qu’un utilisateur n’a peut-être pas d’informations sensibles dans un profil de réseau social, mais l’enquête révèle plusieurs sources pour une même personne. La compilation de données provenant de différentes sources crée une image plus claire de la personnalité numérique, montrant les tendances, les préférences, les habitudes de dépense, les préférences politiques, la localisation et d’autres informations.
 
Outre l’aspect juridique, le plus gros problème est que les réseaux sociaux interdisent ce type de collecte de données car cela viole leurs politiques d’utilisation. Cela n’a pas empêché les entreprises de récolter des données, mais il est difficile d’identifier le trafic provenant d’organisations telles que Social Data.
 
Bien que Social Data refuse de collecter des données qui ne sont pas déjà disponibles en ligne, le simple fait de fouiller et de croiser des données publiques n’est pas autorisé.

 
“N’importe qui peut hameçonner ou contacter toute personne qui indique son numéro de téléphone et son adresse e-mail sur la description de son profil de réseau social de la même manière, même sans l’existence d’une base de données”, a déclaré le porte-parole de Social Data dans un e-mail à Comparitech. “Les réseaux sociaux eux-mêmes exposent les données à des tiers – c’est leur métier. Les utilisateurs qui ne souhaitent pas fournir d’informations rendent leur compte privé.”