Expuestos más 235 millones de cuentas de Instagram, TikTok y YouTube

Es una de filtraciones de datos más importantes de los últimos meses. Según asegura la firma de investigación Comparitech, más de 235 millones de perfiles de Instagram, TikTok y YouTube habrían sido expuestos en la dark web, a la vista de cualquier cibercriminal con el interés suficiente como para hacerse con estos datos.

No es por supuesto, la primera vez que pasa. Según la misma firma de investigación en estos foros pueden localizarse con facilidad nada menos que 15.000 millones de perfiles de disintas plataformas, fruto de las fugas de información que las empresas han sufrido en los últimos años. En la mayoría de los casos, estos datos acaban siendo vendidos al mejor postor, pero en ocasiones los datos simplemente se regalan.

En este caso los datos han sido extraídos de una base de datos no securizada, un problema que cada vez se repite con más frecuencia, como ya vimos en los casos de Xerox y LG. Los datos de los usuarios se encuentran repartidos entre distintos datasets; los dos más relevantes incluyen 100 millones de registros y la información que extraen (principalmente de Instagram) incluye perfiles completos. Un tercer grupo dataset incluye los datos personales de 42 millones de usuarios de TikTok y un último, hace lo propio con 4 millones de cuentas de YouTube.

Como explica la consultora de seguridad, uno de cada cinco registros incluye bien un número de teléfono, bien una dirección de correo electrónico. Además, los perfiles incluyen alguno (en ocasiones todos) de los siguientes elementos.

• Nombre del perfil
• Nombre real
• Foto de perfil
• Descripción de la cuenta

Al mismo tiempo, los datos filtrados incluyen datos estadísticos asociados a cada una de las cuentas. En concreto:

• Número de followers
• Ratio de engagement
• Ratio de crecimiento en el número de usuarios
• Perfil demoscópico y de audiencia
• Localización
• Likes
• Edad
• Género

Si bien los posibles datos recabados por los cibercriminales no permiten hackear directamente las cuentas afectadas, sí que ofrecen suficiente información para alimentar futuras acciones de SPAM y/o phishing. Por ejemplo, con esta información un bot malicioso podría recorrer Instagram e incluir SPAM altamente “personalizado” en los comentarios de cualquier publicación.

Los investigadores creen que la información se ha filtrado por la mala política de protección de datos que lleva a cabo Deep Social una compañía de marketing en redes sociales que fue expulsada de Facebook e Instagram en 2018 por recopilar de forma ilegal datos de los perfiles de los usuarios.