Social Data, una compañía que proporciona servicios para empresas en redes sociales, ha expuesto en Internet una base de datos con información sobre los perfiles de cerca de 235 millones de usuarios de plataformas como Instagram, TikTok y YouTube. Así lo ha alertado la compañía de ciberseguridad Comparitech, que en un comunicado asegura que la base de datos de Social Data no estaba protegida con ningún método de autenticación, ni siquiera con contraseña, revelando un serio fallo de seguridad de la firma.
Entre los datos expuestos, se encuentran los nombres de usuario de las cuentas, datos de contacto en las plataformas, información personal, imágenes y estadísticas sobre los seguidores de sus perfiles.
La información de Social Data proviene de perfiles públicos en Instagram, TikTok y YouTube, en los que los datos eran accesibles de forma pública. Comparitech descubrió a comienzos de agosto tres bases de datos idénticas con los mismos 235 millones de perfiles.
“No sabemos cuánto tiempo estuvieron expuestos los datos antes de nuestro descubrimiento el 1° de agosto. Tampoco sabemos si alguna parte no autorizada accedió a ellos durante la exposición. Nuestros experimentos de honeypot muestran que los piratas informáticos pueden encontrar y atacar bases de datos no seguras a las pocas horas de haber sido expuestos”, dijo la compañía en su publicación.
Los datos podrían proceder de la desaparecida empresa de servicios Deep Social, a la que Facebook e Instagram vetaron en 2018 el acceso a sus API para desarrolladores, debido al uso de una técnica conocida como ‘web scraping’, en la que las empresas se hacen con grandes cantidades de datos de cuentas públicas para usos comerciales.
De acuerdo con Comparitech, los nombres de los conjuntos de datos de Instagram (cuentas-deepsocial-90 y cuentas-deepsocial-91) insinuarían el origen de los datos.
El CTO de Social Data admitió que sus bases de datos se encontraban expuestas, aunque insistió en que se trataba de información disponible de forma pública. También indicó que los servidores en los que se alojaban los datos fueron retirados tres horas después de tener conocimiento del problema.