| 20 авг 2020 — 6:57 утра PT
Утечка базы данных раскрыла данные профилей почти 235 миллионов пользователей TikTok, Instagram и YouTube.
Данные, по-видимому, были собраны с помощью практики, известной как веб-скрейпинг, при которой компания получает доступ к веб-интерфейсу сервиса, а затем автоматически собирает данные…
Это отличается от взлома, поскольку взлом подразумевает вторжение в систему для получения доступа к данным, которые не должны быть общедоступными. Веб-скрейпинг получает доступ только к общедоступным данным.
Например, автоматизированная система может получить доступ к серии каналов YouTube, собирая имя пользователя, фотографию и количество подписчиков владельца канала. Целая база данных таких записей становится проблемой конфиденциальности, даже если сами данные являются общедоступными.
Как только эти данные были собраны в базу данных, обычно ожидаешь, что они будут защищены. Но, как сообщает TNW, база данных из 235 миллионов записей была найдена в сети без защиты паролем.
Собранные данные содержали четыре основных набора данных с информацией о миллионах пользователей из вышеупомянутых платформ. Они включали такие сведения, как имя профиля, полное имя, фотография профиля, возраст, пол и статистика подписчиков […]
Боб Дьяченко, ведущий исследователь из фирмы по безопасности Comparitech, обнаружил три идентичные копии базы данных 1 августа. По словам Дьяченко и команды, данные принадлежали ныне несуществующей компании Deep Social.
Когда они связались с компанией, запрос был перенаправлен гонконгской фирме Social Data, которая признала утечку и закрыла доступ к базе данных. Однако Social Data отрицала какую-либо связь с Deep Social.
Comparitech сообщила, что каждая запись содержала часть или все из следующего:
- Имя профиля
- Полное настоящее имя
- Фотография профиля
- Описание аккаунта
- Принадлежит ли профиль бизнесу или содержит рекламу
- Статистика вовлеченности подписчиков, включая:
- Количество подписчиков
- Коэффициент вовлеченности
- Коэффициент роста подписчиков
- Пол аудитории
- Возраст аудитории
- География аудитории
- Лайки
- Временная метка последнего поста
- Возраст
- Пол
Кроме того, примерно в 20% выборочных записей содержался либо номер телефона, либо адрес электронной почты. Как отмечает TNW, такие данные могут использоваться для спама, а также для фишинговых атак.
Веб-скрейпинг обычно запрещен условиями обслуживания соответствующих сервисов, но калифорнийский суд в прошлом году постановил, что это не является незаконным. Во многих случаях это может быть и хорошо.
Например, CityMapper — это чрезвычайно популярное приложение, которое определяет, как быстрее всего добраться из точки А в точку Б в городе, используя данные о трафике и общественном транспорте в реальном времени. В наши дни большинство компаний, занимающихся общественным транспортом, предоставляют эти данные через API, но на ранних этапах они были доступны только в Интернете. Веб-скрейпинг ранних предшественников CityMapper предлагал удобный способ сделать данные более полезными.
Веб-скрейпинг все еще может быть полезен сегодня, когда компании размещают полезные данные в Интернете, но не делают их доступными через API. Например, сервисы сравнения цен часто по-прежнему полагаются на веб-скрейпинг.
Но скрапинг персональных данных — это совсем другое дело, и судам, возможно, придется различать эти два типа использования.