Ben 235 milioni di account di Instagram, TikTok e YouTube sono stati pubblicati online senza alcuna protezione. La società di sicurezza Comparitech ha scoperto un vasto database liberamente accessibile che espone i dati degli utenti. Ogni account contiene il nome e la foto del profilo, il nome reale, la descrizione e le statistiche di traffico, i like ricevuti, la crescita dei follower, la loro età, il genere e la posizione geografica. In più per due account su dieci si trovano anche informazioni personali come il numero di telefono o l’indirizzo email. Insomma, molti elementi pubblicamente accessibili ma che il database racchiude in un unico file e rende molto pericolosi.
Chiamata web scraping, questa pratica non è illegale in sé ma non è permessa dai social. «Le informazioni potrebbero essere molto preziose per gli spammer e i criminali informatici che creano campagne di phishing», afferma Paul Bischoff di Comparitech, «Anche se i dati sono pubblicamente accessibili, il fatto che siano trapelati in forma aggregata come database ben strutturato li rende molto più preziosi». Sarebbe facile, stando al portavoce dell’azienda, creare un bot in grado di utilizzare il database per pubblicare commenti di spam mirati su qualsiasi profilo corrispondente a criteri come genere, età o follower.
Stando a Comparitech dietro al database non ci sarebbero degli hacker ma Deep Social, azienda già bandita da Facebook e Instagram nel 2018 per il web scraping. Questa però ha rimandato tutte le accuse a un’altra impresa, Social Data. Il database, che stato rimosso, non costituisce un pericolo in sé. Potrebbe però permettere a spammer e truffatori di creare truffe personalizzate e molto più credibili visto che contengono il nome reale, il numero di telefono, il genere e l’età esatta della vittima.
Fonte: Il Corriere della Sera