Les équipes Comparitech chargées d’étudier la sécurité en ligne ont révélé cette semaine la faille d’une base de données mal sécurisée qui a exposé les profils de plus de 235 millions d’utilisateurs d’Instagram, de TikTok et de YouTube.

Récemment, de rapports nombreux rapports ont été publiés au sujet des données de comptes privés apparaissant sur des forums de cybercriminalité du dark web. La plupart de ces rapports estiment actuellement à 15 milliards le nombre d’identifiants dérobés dans le cadre de 100 000 failles, qui incluent notamment l’opération d’un hacker proposant de donner 386 millions d’identifiants volés. Toutes ces données n’ont pas été piratées, du moins pas au sens classique du terme : certaines, comme ce fut probablement le cas lors de l’incident de l’Utah Gun Exchange, ont été exposées par une base de données mal sécurisée.

Le fléau des bases de données non sécurisées

Les bases de données non ou mal sécurisées représentent un tel problème de protection des données que certains pensent qu’un chercheur justicier est à l’origine de la vague d’attaques Meow, qui a écrasé les index de milliers de bases de données. L’une des bases de données en question était si peu sécurisée que les chercheurs de Comparitech, dirigés par Bob Diachenko, ont découvert qu’elle laissait les données des profils personnels de près de 235 millions d’utilisateurs à la merci d’attaques criminelles.

Les données étaient réparties sur plusieurs bases, les plus importantes comptant un peu moins de 100 millions chacune et contenant des enregistrements de profils apparemment effacés d’Instagram. La troisième base de données la plus importante était un ensemble d’informations de quelque 42 millions d’utilisateurs de TikTok et non loin de 4 millions de profils sur YouTube.

D’après les échantillons collectés, Comparitech indique qu’un fichier sur cinq contenait soit un numéro de téléphone, soit une adresse électronique, ainsi qu’une partie, voire la totalité, des informations suivantes :

  • Nom du profil
  • Nom réel complet
  • Photo de profil
  • Description du profil
  • Statistiques concernant le taux d’engagement des followers
    • nombre de followers
    • taux d’engagement
    • taux de croissance des followers
    • genre du public
    • âge du public
    • emplacement du public
    • likes
    • date du dernier post
    • âge
    • genre

Paul Bischoff, rédacteur en chef de Comparitech, estime : « Ces informations seront sans doute très utiles aux spammeurs et aux cybercriminels qui mènent des campagnes de phishing. Même si les données sont accessibles au public, le fait qu’elles aient été divulguées sous forme agrégée en tant que base de données structurée les rend beaucoup plus précieuses que chaque profil ne le serait de manière isolée ». En effet, il précise qu’il serait facile pour un bot d’utiliser la base de données pour poster des commentaires de spam ciblés sur tout profil Instagram correspondant à des critères tels que le sexe, l’âge ou le nombre de followers.

Traquer la source de la faille

Alors, d’où proviennent toutes ces données ? Les chercheurs suggèrent que les preuves, y compris les noms des ensembles de données, pointent vers une société appelée Deep Social. Pourtant, cette même société a été interdite par Facebook et Instagram en 2018 pour avoir supprimé les données des profils de certains utilisateurs. Elle a été liquidée peu après.

Un porte-parole de Facebook nous a déclaré : « Supprimer les informations des utilisateurs d’Instagram est une violation claire de nos politiques. Nous avons révoqué l’accès de Deep Social à notre plateforme en juin 2018 et avons envoyé un avis juridique interdisant toute nouvelle collecte de données ».

Une fois l’origine de la faille découverte, les chercheurs ont « envoyé une alerte à Deep Social, en supposant que les données leur appartenaient », comme l’explique Paul Bischoff. Les administrateurs de Deep Social ont par la suite transmis l’information à une société de marketing de données sur les réseaux sociaux enregistrée à Hong Kong et appelée Social Data. Le rédacteur en chef poursuit : « Social Data a fermé sa base de données environ trois heures après notre premier e-mail ».

Social Data répond

Selon le rapport de Comparitech, Social Data nie tout lien avec Deep Social. Il convient également de préciser que les données divulguées sont accessibles à toute personne visitant le profil des utilisateurs concernés. Cependant, le risque de phishing est largement amplifié une fois qu’une telle quantité de profils est rassemblée dans une base de données structurée. On ignore pour l’instant combien de temps celle-ci a été exposée avant que les chercheurs ne la mettent au jour le 1er août dernier. Le rapport de Comparitech souligne : « Nos expériences sur les honeypots montrent que les hackers peuvent trouver et attaquer des bases de données non sécurisées dans les heures qui suivent leur exposition ».

Contactée par Forbes, la direction de Social Data a fait la déclaration suivante :

« Nous collectons des données et les enrichissons avec des informations supplémentaires utiles uniquement à la demande de nos clients de bonne réputation, qui les utilisent strictement aux fins prévues. Il est extrêmement triste que cet incident se soit produit en raison d’une suite d’événements malencontreux. Cependant, dès que nous avons eu connaissance de l’incident, nous l’avons immédiatement résolu. Depuis lors, nous avons travaillé en étroite collaboration avec les experts en sécurité de l’information pour auditer notre infrastructure de sécurité et augmenter les niveaux de sécurité de l’information requis, afin d’éviter que des incidents similaires ne se reproduisent à l’avenir ».

Un porte-parole de TikTok nous a par ailleurs déclaré : « TikTok accorde la plus haute priorité à la protection de la vie privée des utilisateurs, et nous avons mis en place des politiques anti-scraping. Nos conditions d’utilisation interdisent à des tiers d’exécuter des scripts automatisés pour collecter des informations sur nos services, y compris des données de profils publics. Si nous identifions de telles pratiques, nous prendrons rapidement des mesures, y compris un recours en justice ».

Conseils aux utilisateurs concernés par la faille

Nous conseillons aux utilisateurs de tous les services concernés (Instagram, TikTok et YouTube) d’être particulièrement attentifs aux arnaques de phishing par courrier électronique ou par le biais de commentaires sur les réseaux sociaux.

Par ailleurs, si votre entreprise possède des bases de données dans le cloud, nous vous recommandons vivement de vérifier les autorisations d’accès et de vous assurer qu’elles ne sont pas ouvertes à quiconque viendrait les consulter.

 

Article traduit de Forbes US – Auteur : Davey Winder

 

<<< À lire également : Twitter : Jack Dorsey S’Excuse Pour Le Piratage Du Réseau Social >>>