Selon un rapport de Comparitech et du chercheur en cybersécurité Bob Diachenko, une base de données de près de 235 millions de profils de réseaux sociaux a été exposée sur le Web, avec un accès sans mot de passe ou autre forme d'authentification.

Découverte le 1er août avec une répartition sur plusieurs jeux de données, cette base de données non sécurisée - pour cause de mauvaise configuration - contenait les informations de profils extraits de pages publiques sur principalement Instagram, ainsi que TikTok et dans une moindre mesure YouTube.

Outre le nom, photo, description du compte, âge, sexe et diverses statistiques sur l'engagement des abonnés, près d'un cinquième des profils contenaient un numéro de téléphone ou une adresse email. Trois heures après signalement idoine, l'accès à la base de données a été fermé.

Pour Comparitech et même si les informations sont indépendamment accessibles publiquement, la découverte de cette base de données par des personnes malintentionnées aurait pu servir à des campagnes de spam et de phishing.

comparitech-social-data-deep-social
L'origine des données et cette collecte semblent pointer vers une entreprise du nom de Deep Social. Se présentant comme une plateforme de classement d'influenceurs, de découverte et d'analyse exploitant de l'IA, elle a été fermée en 2018.

À cette même période, Deep Social avait vu son accès (API) révoqué par Facebook (propriétaire d'Instagram) pour une pratique interdite de web scraping. Elle fait référence à la collecte de manière automatisée de contenus, y compris pour des profils.

Les administrateurs de Deep Social ont renvoyé vers la société de marketing Social Data pour des données d'influenceurs qui a pris les mesures nécessaires avec les serveurs hébergeant les données. Social Data réfute tout lien avec Deep Social et se défend.

" Toutes les données sont accessibles librement à toute personne ayant accès à Internet. […] N'importe qui pourrait hameçonner ou contacter de la même manière toute personne qui indique son téléphone et email dans la description de son profil sur les réseaux sociaux, même sans l'existence de la base de données. […] Les réseaux sociaux eux-mêmes exposent les données à des personnes extérieures. […] Les utilisateurs qui ne souhaitent pas fournir d'informations rendent leurs comptes privés. "

Une défense qui paraît assez maladroite...