Un error en la configuración cloud de SocialArks ha permitido la difusión de datos sobre 318 millones de récord de account social, entre Facebook, Instagram y LinkedIn. En total se trata de más de 400 GB de datos de perfiles públicos y privados de 214 millones de usuarios de los social media de todo el mundo. Estos récords han sido difundidos en Internet – incluido los detalles de celebridades e influencer los más seguidos en los Estados Unidos y en el resto del mundo.
¿Cómo han sido robados los datos? – Esta filtración muy relevante para los volúmenes y el amplio ámbito de acción, deriva desde un error de configuración de un database ElasticSearch de propiedad de SocialArks, una sociedad con sede en China que organiza los perfiles sociales.
Entre los datos robados, no faltan los datos sensibles relativos a usuarios de Facebook, Instagram, LinkedIn y otras plataformas.
El server, conexión a internet, no tuvo password, criptografía u otros instrumentos de protección de datos. Su descubrimiento apareció durante controles de rutina sobre las direcciones IP, desarrollados para buscar database puestos en peligro. En total, el server incluía más de 318 millones de récords.
¿Qué es SocialArks? – SocialArks es una plataforma para la gestión de datos social, también utilizada para programar anuncios publicitarios sobre las principales plataformas y planificar las campañas de marketing.
En la página que describe los propios servicios, SocialArks se define como una “sociedad internacional para la organización de los perfiles sociales, dedicada a resolver problemas de construcción de marca, de mercado y de gestión de los clientes en los social en el sector comercial con la Cina”.
El server interesado, alojado desde Tencent, ha sido dividido en diferentes índices, para memorizar los datos obtenidos desde diferentes sociales. Esta indización ha ayudado el trabajo de los investigadores en el análisis de los datos desde los social media.
Desde lo que surge, los datos serán parte de un trabajo de raspado de datos llevado desde SocialArks. Con este término se quiere definir “pesca de arrastre”, destinada a adquirir una enorme cantidad de datos sin algún target específico. Esta práctica, además de poner cuestiones morales, se pone en violación respeto a los términos de servicios de varias plataformas sociales como Facebook, Instagram y LinkedIn.
Las dimensiones del problema – Los datos robados ilícitamente son de más de 11 millones de usuarios de Instagram, más de 66 millones de inscriptos a LinkedIn y más de 81 millones de perfiles usuarios en Facebook.
Los récords incluían datos sensibles cómo las imágenes de perfil, biografía (la didascalia en la cual es posible describir brevemente la persona), el número de followers, configuraciones sobre la geolocalización, detalles de contacto cómo el correo electrónico y el número de teléfono, número de comentarios recibidos, hashtag más utilizados, posición laboral y otro más.
La existencia de un repositorio central que incluye estas informaciones abre la puerta a ataques de ingeniería social automatizados y con alto volumen.
La mayor parte del raspado de datos es inofensivo, siendo efectuado desde desarrolladores del web, analistas empresariales y sociedades “honestas”. En estos casos los datos son conservados con atención particular.
Tenemos que repetir que, sino también estos datos se obtienen legalmente, en caso en el cual sean conservados sin una adecuada estructura de seguridad informática, pueden ser robados y finir en las manos erradas en ocasión de una de las “filtraciones” que aparecieron en los últimos años.
Cuando informaciones privadas entre las cuales números de teléfono, correos electrónicos y fechas de nacimiento se roban o se comparten, los criminales tienen armas suficientes para atacar con robo de identidad.
Sin embargo, es interesante en sí mismo que el raspado de datos se produzca y logre el objetivo de recopilar información pública y privada de los usuarios registrados. Como suele ocurrir, fueron los perfiles públicos los que fueron víctimas de esta técnica de «pesca», tan burda como eficaz.
Habitualmente, las grandes redes sociales como Facebook e Instagram bloquean los intentos de raspado masivo de datos, ya que son precisamente los datos relativos a sus usuarios los que dan valor a estas dos grandes marcas en el mundo digital.
¿Una cuenta privada resolvería realmente este problema? – La respuesta es no. Y el ejemplo de LinkedIn es tan claro como providencial. Esta red social, que fue creada específicamente para crear y establecer conexiones en el entorno empresarial, requiere cierta transparencia en el perfil de usuario para que éste pueda conectar con otros. Configurar el perfil como privado haría mucho más complejo el tejido de esta red.
La carga en este caso debería recaer casi por completo en las plataformas sociales propietarias. Con los potentes medios de que disponen, deben crear un ecosistema seguro para sus usuarios, incluso para aquellos que han decidido compartir su información públicamente. Pero para desencadenar un cambio en este sentido, es necesario un posicionamiento fuerte por parte de los propios usuarios, que deben exigir cada vez con más fuerza transparencia y seguridad en las condiciones de uso de todas las redes sociales y en la gestión (y almacenamiento) de los datos personales. ¡No bajemos la guardia!
FUENTE: FEDERPRIVACY