[[375575]]

來自世界各地的2.14億社交媒體用戶的超過400GB公共的或私人檔案數(shù)據(jù)被泄露在了互聯(lián)網(wǎng)上，其中包括了美國和其他地方的一些名人和社交媒體作者的詳細信息。

Safety Detectives的研究人員稱，此次信息的泄露源是社交媒體管理公司SocialArks所擁有的一個配置錯誤的ElasticSearch數(shù)據(jù)庫，其中包括了Facebook、instagram、LinkedIn和其他平臺用戶的個人身份信息(PII)。

研究人員表示，在對可能存在風險的數(shù)據(jù)庫進行例行IP檢查時，發(fā)現(xiàn)該服務器在沒有密碼保護或加密的情況下被公開了。其中總共包含了超過3.18億條數(shù)據(jù)記錄。

SocialArks的數(shù)據(jù)管理平臺主要用于廣告程序化和營銷。它自稱是一家 "跨界社交媒體管理公司，致力于解決當前中國外貿(mào)行業(yè)的品牌建設、市場推廣、營銷、社會化客戶管理等問題。"

受到影響的服務器由騰訊公司來托管，為了存儲從每個社交媒體上獲取到的數(shù)據(jù)，該服務器上的數(shù)據(jù)都被添加上了數(shù)據(jù)索引，這使得研究人員可以進一步的研究數(shù)據(jù)。

研究人員在周一的一篇博客文章中說：

• 我們的研究團隊能夠確定，泄露的全部數(shù)據(jù)都是從社交媒體平臺上'搜集'出來的，這既不道德，也違反了Facebook、instagram和LinkedIn的服務條款。

被搜集的資料中包括了11,651,162份instagram用戶資料;66,117,839份LinkedIn用戶資料;81,551,567份Facebook用戶資料;其中的55,300,000份Facebook資料，在服務器被發(fā)現(xiàn)后的幾個小時內(nèi)刪除了。

這些公開的個人數(shù)據(jù)資料包括個人簡歷、個人資料圖片、追隨者總數(shù)、位置設置、電子郵件地址和電話號碼等聯(lián)系方式、評論數(shù)量、常用標簽、公司名稱、工作職位等。

nVisium公司首席執(zhí)行官Jack Mannino告訴Threatpost：

• 出于營銷目的而搜集的社交媒體數(shù)據(jù)會不可避免的包含一些敏感信息，對于每一個使用社交媒體的人來說，有非常多的人公開分享過他們的私人生活。為了保護自己，請限制別人對你的個人資料和媒體資料的訪問權限，理智地在網(wǎng)上發(fā)布內(nèi)容，并謹慎地授予那些可能濫用、誤用或竊取你的信息的應用程序權限。

然而，除了整理公開的數(shù)據(jù)外，該數(shù)據(jù)庫還包含了很多社交媒體用戶的私人數(shù)據(jù)。

研究人員說：

• SocialArks的數(shù)據(jù)庫中存儲了instagram和LinkedIn用戶的個人數(shù)據(jù)，比如用戶的私人電話號碼和電子郵件地址，這些用戶并沒有在他們的賬戶上公開透露這些信息，SocialArks當初是如何可能獲得這些數(shù)據(jù)的，仍然是個未知數(shù)......目前仍然不清楚該公司是如何設法從眾多的信息源中獲得私人數(shù)據(jù)的......此外，該公司的服務器安全性很差，完全沒有安全保障。

為了獲得更多信息，Threatpost已經(jīng)聯(lián)系了SocialArks。

在Security Detectives向該公司發(fā)出警告的當天，SocialArks就已經(jīng)對數(shù)據(jù)庫進行了安全加固。

SocialArks在8月份也曾遭遇過類似的數(shù)據(jù)泄露事件，受影響的有6600萬LinkedIn用戶、1160萬instagram賬號和8150萬Facebook賬號，共計約1.5億人。被曝光的信息還包括搜集來的公開數(shù)據(jù)，如姓名、居住地、工作地點、職位、訂閱者數(shù)據(jù)和聯(lián)系信息，以及個人資料等信息。

專家警告說，那些存儲此類泄露的信息的數(shù)據(jù)庫，會為大批量、自動化的社交工程攻擊提供便利。

研究人員說：

• 大多數(shù)的數(shù)據(jù)收集是完全無害的，由網(wǎng)絡開發(fā)人員，商業(yè)智能分析師，可靠的企業(yè)，比如旅行預訂者網(wǎng)站來操作的，是為了市場研究而進行的合法的行為，然而，即使這些數(shù)據(jù)是合法獲得的，如果在沒有在足夠安全的網(wǎng)絡環(huán)境下進行存儲，很可能會發(fā)生影響數(shù)百萬人的大面積的信息泄露。當電話號碼、電子郵件地址和出生信息在內(nèi)的私人信息被泄露出去時，犯罪分子就有可能進行身份資料盜竊和金融詐騙等一系列的犯罪行為。

新網(wǎng)科技公司全球副總裁Dirk Schrader表示，收集的數(shù)據(jù)，無論是公共信息還是私人信息，這些信息本身就足夠令人好奇。

他告訴Threatpost：

• 用戶的個人資料以前也被大規(guī)模的收集過，該領域的巨頭通常會試圖阻止大規(guī)模的信息收集活動。但是為什么在這次沒有成功，這個事情確實是非常有意思。作為一個可能會因為信息泄露事件而受到影響的LinkedIn用戶，我本身的選擇是有限的。要么我接受對于我的信息收集，要么我減少在平臺上填寫資料，但這在一定程度上限制了我進行商業(yè)聯(lián)系。用戶提供多少信息是他們自己的選擇。數(shù)據(jù)收集本身，尤其是當收集到的數(shù)據(jù)存放網(wǎng)絡環(huán)境安全性很差的情況下，會增加被惡意攻擊的可能性。

本文翻譯自：https://threatpost.com/social-profiles-leaked-chinese-data-scrapers/162936/如若轉載，請注明原文地址。