Las filtraciones de datos, ya sea a través de hackeos o errores humanos, se suelen producir cada pocos meses en todo tipo de plataformas online y redes sociales. Ahora, las que se han visto afectadas han sido Instagram, TikTok y YouTube, con casi 235 millones de cuentas que han aparecido en una base de datos.
La base de datos pertenece a la empresa Social Data, la cual vende datos de influencers de redes sociales a empresas. Entre esos datos, por suerte, no hay contraseñas u otro tipo de información que permita un acceso no autorizado a esas cuentas, pero sí que hay multitud de datos sensibles.
Social Data: recopilando nombres, emails, teléfonos y toda información pública
Entre ellos, encontramos el nombre completo, nombre de perfil, foto de perfil, descripción de la cuenta, si el perfil pertenece a un particular, empresa o tiene anuncios, número de seguidores, tasa de crecimiento de seguidores, género, edad, ubicación, número de likes, tasa de engagement y fecha de última publicación. También recopilan el género, edad y ubicación de la audiencia, lo cual es una información importante para los anunciantes.
La información revela que los datos provienen de una empresa extinta: Deep Social. El nombre de la empresa se puede ver en el título de los grupos de datos, llamados «deepsocial-90» y «deepsocial-91», donde no sólo está el nombre de la empresa, sino que se revela peligrosamente que podría haber decenas de este tipo de registros. Los investigadores que descubrieron los datos intentaron contactar con la empresa, y los administradores les redirigieron a Social Data. El CTO de esta empresa, que afirma que ya no tienen conexión con ella, reconoció la filtración de datos, y los servidores abiertos que alojaban esos datos fueron cerrados tres horas después.
Facebook e Instagram ya prohibieron a Deep Social el acceso a su API en 2018, y amenazaron con acciones legales si seguían haciendo scraping de los datos de sus usuarios. A raíz de eso, la compañía anunció que iba a cesar su actividad y cerró. Desde Social Data afirman que la información recopilada es pública, y que. si los usuarios no quieren que acaben en manos de compañías, que no la publiquen o que se ponga el perfil privado. El problema es que esos datos se recopilan incluso de perfiles privados.
Instagram, la más afectada por el scraping de Deep Social
El scraping consiste en recopilar información de páginas web de manera automática. Aunque la información que tiene Social Data es pública, hacer esto va contra los términos y condiciones de uso de redes sociales como Facebook, Instagram, TikTok y YouTube. Es muy difícil distinguir a un bot que está realizando scraping frente a la actividad de un usuario normal.
Los investigadores afirman que no saben cuánto tiempo estuvieron los datos expuestos previo a su descubrimiento el pasado 1 de agosto. Según las pruebas que han hecho ellos mismos en el pasado, los hackers suelen descubrir este tipo de bases de datos tan sólo unas horas después de estar expuestas.
En total, los datos filtrados son los siguientes:
- 96.714.241 registros de Instagram
- 95.678.713 registros de Instagram
- 42.129.799 registros de TikTok
- 3.955.892 registros de YouTube
El scraping se sigue haciendo, a pesar de estar prohibido
En torno a uno de cada cinco registros contenía una dirección de correo electrónico o un número de teléfono, los cuales son bastante sensibles porque pueden lanzarse ataques de phishing personalizados. También pueden usar las fotos para suplantar la identidad de usuarios, crear bots con identidades falsas, o usarlos para entrenar sistemas de reconocimiento facial.
Así, aunque Facebook y otras redes sociales prohíban el scraping, éste sigue ocurriendo en la actualidad, ya que no pueden bloquear a los bots que van pululando por la red. Es tan sencillo como coger un perfil e ir buscando entre sus amigos y amigos de amigos, almacenando toda la información disponible de cada uno de los perfiles públicos.
Deep Social afirma haber tenido como clientes a empresas como Samsung, Heineken, L’Oreal, Unilever, Walmart, Amazon, Disney y Booking.com, y cumplir con las normas de la RGPD. La compañía cerró en 2018, mientras que Social Data se lanzó en agosto de 2019, realizando la misma actividad que la anterior.