[[375575]]

來(lái)自世界各地的2.14億社交媒體用戶的超過(guò)400GB公共的或私人檔案數(shù)據(jù)被泄露在了互聯(lián)網(wǎng)上，其中包括了美國(guó)和其他地方的一些名人和社交媒體作者的詳細(xì)信息。

Safety Detectives的研究人員稱，此次信息的泄露源是社交媒體管理公司SocialArks所擁有的一個(gè)配置錯(cuò)誤的ElasticSearch數(shù)據(jù)庫(kù)，其中包括了Facebook、instagram、LinkedIn和其他平臺(tái)用戶的個(gè)人身份信息(PII)。

研究人員表示，在對(duì)可能存在風(fēng)險(xiǎn)的數(shù)據(jù)庫(kù)進(jìn)行例行IP檢查時(shí)，發(fā)現(xiàn)該服務(wù)器在沒(méi)有密碼保護(hù)或加密的情況下被公開(kāi)了。其中總共包含了超過(guò)3.18億條數(shù)據(jù)記錄。

SocialArks的數(shù)據(jù)管理平臺(tái)主要用于廣告程序化和營(yíng)銷。它自稱是一家 "跨界社交媒體管理公司，致力于解決當(dāng)前中國(guó)外貿(mào)行業(yè)的品牌建設(shè)、市場(chǎng)推廣、營(yíng)銷、社會(huì)化客戶管理等問(wèn)題。"

受到影響的服務(wù)器由騰訊公司來(lái)托管，為了存儲(chǔ)從每個(gè)社交媒體上獲取到的數(shù)據(jù)，該服務(wù)器上的數(shù)據(jù)都被添加上了數(shù)據(jù)索引，這使得研究人員可以進(jìn)一步的研究數(shù)據(jù)。

研究人員在周一的一篇博客文章中說(shuō)：

• 我們的研究團(tuán)隊(duì)能夠確定，泄露的全部數(shù)據(jù)都是從社交媒體平臺(tái)上'搜集'出來(lái)的，這既不道德，也違反了Facebook、instagram和LinkedIn的服務(wù)條款。

被搜集的資料中包括了11,651,162份instagram用戶資料;66,117,839份LinkedIn用戶資料;81,551,567份Facebook用戶資料;其中的55,300,000份Facebook資料，在服務(wù)器被發(fā)現(xiàn)后的幾個(gè)小時(shí)內(nèi)刪除了。

這些公開(kāi)的個(gè)人數(shù)據(jù)資料包括個(gè)人簡(jiǎn)歷、個(gè)人資料圖片、追隨者總數(shù)、位置設(shè)置、電子郵件地址和電話號(hào)碼等聯(lián)系方式、評(píng)論數(shù)量、常用標(biāo)簽、公司名稱、工作職位等。

nVisium公司首席執(zhí)行官Jack Mannino告訴Threatpost：

• 出于營(yíng)銷目的而搜集的社交媒體數(shù)據(jù)會(huì)不可避免的包含一些敏感信息，對(duì)于每一個(gè)使用社交媒體的人來(lái)說(shuō)，有非常多的人公開(kāi)分享過(guò)他們的私人生活。為了保護(hù)自己，請(qǐng)限制別人對(duì)你的個(gè)人資料和媒體資料的訪問(wèn)權(quán)限，理智地在網(wǎng)上發(fā)布內(nèi)容，并謹(jǐn)慎地授予那些可能濫用、誤用或竊取你的信息的應(yīng)用程序權(quán)限。

然而，除了整理公開(kāi)的數(shù)據(jù)外，該數(shù)據(jù)庫(kù)還包含了很多社交媒體用戶的私人數(shù)據(jù)。

研究人員說(shuō)：

• SocialArks的數(shù)據(jù)庫(kù)中存儲(chǔ)了instagram和LinkedIn用戶的個(gè)人數(shù)據(jù)，比如用戶的私人電話號(hào)碼和電子郵件地址，這些用戶并沒(méi)有在他們的賬戶上公開(kāi)透露這些信息，SocialArks當(dāng)初是如何可能獲得這些數(shù)據(jù)的，仍然是個(gè)未知數(shù)......目前仍然不清楚該公司是如何設(shè)法從眾多的信息源中獲得私人數(shù)據(jù)的......此外，該公司的服務(wù)器安全性很差，完全沒(méi)有安全保障。

為了獲得更多信息，Threatpost已經(jīng)聯(lián)系了SocialArks。

在Security Detectives向該公司發(fā)出警告的當(dāng)天，SocialArks就已經(jīng)對(duì)數(shù)據(jù)庫(kù)進(jìn)行了安全加固。

SocialArks在8月份也曾遭遇過(guò)類似的數(shù)據(jù)泄露事件，受影響的有6600萬(wàn)LinkedIn用戶、1160萬(wàn)instagram賬號(hào)和8150萬(wàn)Facebook賬號(hào)，共計(jì)約1.5億人。被曝光的信息還包括搜集來(lái)的公開(kāi)數(shù)據(jù)，如姓名、居住地、工作地點(diǎn)、職位、訂閱者數(shù)據(jù)和聯(lián)系信息，以及個(gè)人資料等信息。

專家警告說(shuō)，那些存儲(chǔ)此類泄露的信息的數(shù)據(jù)庫(kù)，會(huì)為大批量、自動(dòng)化的社交工程攻擊提供便利。

研究人員說(shuō)：

• 大多數(shù)的數(shù)據(jù)收集是完全無(wú)害的，由網(wǎng)絡(luò)開(kāi)發(fā)人員，商業(yè)智能分析師，可靠的企業(yè)，比如旅行預(yù)訂者網(wǎng)站來(lái)操作的，是為了市場(chǎng)研究而進(jìn)行的合法的行為，然而，即使這些數(shù)據(jù)是合法獲得的，如果在沒(méi)有在足夠安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行存儲(chǔ)，很可能會(huì)發(fā)生影響數(shù)百萬(wàn)人的大面積的信息泄露。當(dāng)電話號(hào)碼、電子郵件地址和出生信息在內(nèi)的私人信息被泄露出去時(shí)，犯罪分子就有可能進(jìn)行身份資料盜竊和金融詐騙等一系列的犯罪行為。

新網(wǎng)科技公司全球副總裁Dirk Schrader表示，收集的數(shù)據(jù)，無(wú)論是公共信息還是私人信息，這些信息本身就足夠令人好奇。

他告訴Threatpost：

• 用戶的個(gè)人資料以前也被大規(guī)模的收集過(guò)，該領(lǐng)域的巨頭通常會(huì)試圖阻止大規(guī)模的信息收集活動(dòng)。但是為什么在這次沒(méi)有成功，這個(gè)事情確實(shí)是非常有意思。作為一個(gè)可能會(huì)因?yàn)樾畔⑿孤妒录艿接绊懙腖inkedIn用戶，我本身的選擇是有限的。要么我接受對(duì)于我的信息收集，要么我減少在平臺(tái)上填寫資料，但這在一定程度上限制了我進(jìn)行商業(yè)聯(lián)系。用戶提供多少信息是他們自己的選擇。數(shù)據(jù)收集本身，尤其是當(dāng)收集到的數(shù)據(jù)存放網(wǎng)絡(luò)環(huán)境安全性很差的情況下，會(huì)增加被惡意攻擊的可能性。

本文翻譯自：https://threatpost.com/social-profiles-leaked-chinese-data-scrapers/162936/如若轉(zhuǎn)載，請(qǐng)注明原文地址。