La base de données comprenant des informations personnelles sensibles était accessible sans aucun mot de passe.

Le chercheur en cybersécurité Bob Diachenko de chez Comparitech a révélé la présence d’une base de données comprenant des informations sur plus de 235 millions de profils YouTube, Instagram et TikTok en accès libre sur la toile. Le manque de protection de cette base de données pose évidemment question. En plus des pseudos, noms et prénoms, la base de données regroupait des données plus personnelles telles que des numéros de téléphone, des coordonnées de localisation, des statistiques sur les abonnées et des images.

Cette base de données est le résultat du travail de la société Social Data, spécialisée dans la vente de données à des entreprises de marketing, même si des preuves suggèrent qu’elle aurait été constituée par Deep Social, une autre compagnie du même type aujourd’hui disparue. Selon les recherches de Bob Diachenko, il existait trois versions de cette base de données exposées sur la toile. Prévenue du problème, Social Data a reconnu la faille et a procédé à la suppression de la base de données.

Bien que les informations renfermées dans la base de données sont accessibles sur les profils des personnes, les rassembler dans une seule et même liste facilite le travail aux pirates informatiques et à leurs campagnes de phishing.

Au-delà du risque que ce type de fichiers peut représenter pour les personnes concernées, la méthode utilisée pour la constituer va à l’encontre des politiques des différents réseaux sociaux. La société Social Data a en effet indiqué qu’elle ne rassemblait que les données publiques des différents profils, une technique connue sous le nom de « scraping data ». Une méthode automatisée qui consiste à copier les données et informations de pages Internet en masse, ici des données de profils publics. Si ces informations sont bien accessibles publiquement, les différents réseaux sociaux interdisent le scraping web sur leur plateforme. Malheureusement, la détection des robots de scraping est difficile pour les différentes plateformes, c’est pourquoi il est compliqué pour Facebook, Instagram, YouTube ou encore TikTok de lutter contre ces derniers.

« Le fait de retirer les informations des gens d’Instagram est une violation manifeste de nos politiques », a indiqué une porte-parole de Facebook à Comparitech.

Difficile de savoir combien de temps cette base de données est restée en ligne. Si les informations regroupées dans cette base sont bel et bien disponibles publiquement en ligne, les rassembler de la sorte sans aucune protection facilite les attaques de phishing et autres tentatives de piratage. Les hackers sont particulièrement friands de ce genre de bases de données.