2,6 millions de comptes Instagram et TikTok exposés par une faille

Les données de localisation, les noms complets ou encore les photos de profil ont été accessibles aux pirates durant 1 mois.

L’équipe de chercheurs en cybersécurité de SafetyDetectives a découvert une importante fuite de données affectant la société d’analyse des médias sociaux, IGBlade. Cette fuite a exposé les données de profils récupérés sur Instagram et TikTok. La fuite de données comprenait, sans s’y limiter, les noms complets, les noms des utilisateurs, les photos de profil, les adresses électroniques, des données de localisation ou encore les numéros de téléphone. Cette fuite inclut les profils de personnes célèbres telles qu’Ariana Grande, Kim Kardashian et Alicia Keys. Au total, ce sont plus de 2,6 millions de profils qui ont été exposés en ligne.

Un serveur non sécurisé

Les chercheurs ont découvert un serveur ElasticSearch non sécurisé appartenant au site IGBlade.com. Ce serveur sert à l’indexation et la recherche de données. Il ne disposait d’aucun mot de passe ou mesure de chiffrage. Les chercheurs ont pu déterminer que cette fuite avait été causée par IGBlade, car la base de données contenait de nombreux liens vers la société.

Le serveur contenait des données récupérées sur des millions de profils de réseaux sociaux extraits d’Instagram et de TikTok. Bien que la collecte de données ne soit pas illégale et que toutes les informations sur les utilisateurs contenues dans cette base de données soient accessibles au public, les chercheurs indiquent que cela enfreint les conditions d’utilisation de TikTok et d’Instagram.

Une corne d’abondance pour les pirates

Les données d’Ariana Grande sont par exemple contenues dans cette base de donnée. © SafetyDetectives

Les chercheurs indiquent que cette fuite pourrait être une aubaine pour les cybercriminels, car elle pourrait leur permettre d’accélérer les campagnes d’ingénierie sociale et de fraude massive grâce à ce grand volume d’informations rassemblées en un seul endroit. Ils pourraient également utiliser les photos de profil récupérées pour créer de nouveaux faux comptes pour des campagnes de désinformation ou d’escroquerie. « La navigation dans des bases de données est une solution beaucoup plus rapide que la navigation entre chaque utilisateur sur un site de réseau social », explique SafetyDetectives. « Cela pourrait accélérer la vitesse et la portée des activités criminelles des pirates. »

Ces données sont restées exposées en ligne pendant plus d’un mois avant que l’équipe de recherche ne les trouve et ne contacte IGBlade. La faille a depuis été rebouchée, mais les informations circulent sans doute encore sur Internet.