Socialarks บริษัทจัดการโซเชียลมีเดียของจีน พบการรั่วไหลข้อมูลส่วนบุคคล (PHI) ของผู้ใช้ Facebook Instagram และ LinkedIn มากกว่า 200 ล้านคน
ข้อมูลที่รั่วไหลออกมาจาก ElasticSearch นั้นเป็นข้อมูลที่ไม่ปลอดภัย เป็นข้อมูลส่วนตัว 408GB ของผู้ใช้งานทั่วไป ผู้มีอิทธิพลในโซเชียลมีเดีย และแม้แต่คนดัง
นักวิจัยพบว่าข้อมูลที่รั่วไหลนั้น อาจถูกคัดลอกมาจากแพลตฟอร์มโซเชียลมีเดียยอดนิยม ซึ่งละเมิดข้อกำหนดในการให้บริการของยักษ์ใหญ่โซเชียลมีเดีย
ฐานข้อมูลที่รั่วไหลมีข้อมูลต่อไปนี้
- 81,551,567 โปรไฟล์บัญชีงาน Facebook
- 66,117,839 โปรไฟล์ผู้ใช้งาน LinkedIn
- 11,651,162 บัญชีผู้ใช้งาน Instagram
นักวิจัยยังตั้งข้อสังเกตว่าโปรไฟล์ผู้ใช้งาน Facebook มีเพิ่มเติมอีก 55.3 ล้านโปรไฟล์ ถูกลบไปหลายชั่วโมงหลังจากการถูกค้นพบ
“จากข้อมูลรั่วไหลที่เราค้นพบทำให้สามารถระบุชื่อนามสกุลของผู้คนประเทศที่อยู่สถานที่ทำงานตำแหน่งข้อมูลสมาชิกและข้อมูลการติดต่อตลอดจนลิงก์โดยตรงไปยังโปรไฟล์ของพวกเขาได้” SafetyDetectives อธิบาย
ข้อมูลที่เปิดเผยสำหรับแต่ละแพลตฟอร์มโซเชียลมีเดียนั้นจะแตกต่างกันไป แต่จะวาดภาพโปรไฟล์ของผู้ใช้งานได้โดยสมบูรณ์ ซึ่งอาจทำให้ผู้คุกคาม สามารถเลือกเป้าหมายที่ทำกำไรได้มากที่สุดได้
บัญชีผู้ใช้ Instagram ที่รั่วไหล ได้เปิดเผยชื่อเต็ม หมายเลขโทรศัพท์กว่า 6 ล้านหมายเลข ที่อยู่อีเมล 11 ล้านลิงก์ โปรไฟล์รูปภาพ คำอธิบายโปรไฟล์ จำนวนผู้ติดตาม ประเทศที่พำนัก และแฮชแท็กที่ถูกใช้บ่อยที่สุด
ข้อมูลบัญชี Facebook จะแสดงข้อมูลที่คล้ายกัน ควบคู่ไปกับจำนวนไลค์ ผู้ติดตาม และการให้คะแนน ID Messenger และคำอธิบายโปรไฟล์
ในกรณีของโปรไฟล์ LinkedIn บันทึกจะเปิดเผยโปรไฟล์งานของผู้ใช้งาน ตำแหน่งงาน ระดับ ชื่อ บริษัท และส่วนต่างรายได้ พร้อมกับชื่อเต็ม และที่อยู่อีเมลของผู้ใช้งานเอง
แม้ว่าข้อมูลส่วนบุคคลที่คัดลอกมาบางส่วนจะไม่เปิดเผยข้อมูลทั้งหมดสำหรับผู้ใช้งานทุกคน แต่ผู้ตรวจสอบพบว่าฐานข้อมูลมีหมายเลขโทรศัพท์ และที่อยู่อีเมลสำหรับผู้ใช้งานที่เลือกที่จะไม่เปิดเผยข้อมูลต่อสาธารณะในโปรไฟล์ของตน
“ฐานข้อมูล Socialarks จัดเก็บข้อมูลส่วนบุคคลสำหรับผู้ใช้งาน Instagram และ LinkedIn เช่น หมายเลขโทรศัพท์ส่วนตัว และที่อยู่อีเมลสำหรับผู้ใช้งานที่ไม่เปิดเผยข้อมูลดังกล่าวต่อสาธารณะในบัญชีของตน” รายงานกล่าวต่ออีกว่า “ยังไม่ทราบแน่ชัด เกี่ยวกับวิธีที่ Socialarks สามารถเข้าถึงข้อมูลดังกล่าวในตอนแรก”
บริษัทที่ตั้งอยู่ในประเทศจีน มักประสบปัญหาการละเมิดข้อมูลลักษณะเดียวกัน ในเดือนสิงหาคม 2020 มีการเปิดเผยข้อมูลของผู้ใช้งาน LinkedIn Facebook และ Instagram กว่า 150 ล้านคน นักวิจัยกล่าวว่า เซิร์ฟเวอร์ที่ไม่มีหลักประกันถูกค้นพบเมื่อวันที่ 12 ธันวาคม 2020 สองวันหลังจากยืนยันที่มาของฐานข้อมูล ทีมรักษาความปลอดภัยทางไซเบอร์ได้ติดต่อ Socialarks เพื่อเปิดเผยการละเมิด
“บริษัทไม่ตอบสนองต่อการติดต่อของเรา แต่เซิร์ฟเวอร์ได้รับการรักษาความปลอดภัยในวันเดียวกัน” SafetyDetectives กล่าวเสริม
การรั่วไหลและการขุดข้อมูลผู้ใช้อย่างผิดจรรยาบรรณ ก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างร้ายแรงต่อผู้ใช้งานที่เปิดเผย ข้อมูลดังกล่าวอาจเป็น "อาวุธเพื่อดำเนินเป้าหมายเฉพาะในการดึงข้อมูลส่วนบุคคล เพื่อวัตถุประสงค์ทางอาญา" รายงานยังได้เตือนต่ออีกว่า “การแบ่งส่วนที่เป็นไปได้ของการเปิดเผยข้อมูลส่วนบุคคล ได้แก่ การโจรกรรมข้อมูลส่วนบุคคล และการฉ้อโกงทางการเงินที่ดำเนินการในแพลตฟอร์มอื่น ๆ รวมถึงธนาคารออนไลน์”