Công ty phân tích mạng xã hội Social Data vừa làm lộ dữ liệu chứa tên, thông tin liên hệ, hình ảnh và số lượt người theo dõi của gần 235 triệu tài khoản Instagram, TikTok, YouTube. Toàn bộ cơ sở dữ liệu này hoàn toàn không được bảo vệ bằng mật khẩu hoặc bất kỳ hình thức xác thực nào.

Bob Diachenko, trưởng nhóm nghiên cứu của công ty bảo mật Comparitech, đã phát hiện ra 3 bản sao giống hệt nhau của cơ sở dữ liệu này vào ngày 01/08. Hiện vẫn chưa xác định được liệu có ai lấy những thông tin mà Social Data để lộ trực tuyến không. Comparitech nói rằng họ không biết các hệ thống máy chủ bị lỗ hổng này bao lâu trước khi phát hiện lộ dữ liệu.

Sau khi phát hiện, Diachenko đã liên hệ Social Data. Công ty thừa nhận lỗ hổng và đã đóng quyền truy cập vào cơ sở dữ liệu này. Khoảng 1/5 dữ liệu bị lộ có kèm theo số điện thoại hoặc địa chỉ email liên kết với tài khoản người dùng. Những thông tin này cực kỳ quan trọng, nếu rơi vào tay kẻ xấu có thể bị lạm dụng để gửi tin nhắn rác hoặc lừa đảo.

Lộ dữ liệu 235 triệu tài khoản người dùng Instagram, TikTok và YouTube

Theo The Next Web, Social Data có thể đã liên kết với Deep Social, một nền tảng phân tích dữ liệu đã đóng cửa từ năm 2018 – sau khi bị Facebook loại khỏi các API quảng cáo. Trao đổi với Comparitech, đại diện Social Data nói rằng những thông tin công ty có được là do thu thập từ những hồ sơ người dùng công khai, đồng thời phủ nhận có bất kỳ liên kết nào với Deep Social.

Có thể Social Data đã sử dụng phương pháp thu thập dữ liệu tự động. Đại diện công ty tuyên bố toàn bộ dữ liệu được thu thập một cách hợp pháp, từ những thông tin mà người dùng cho phép công khai.

“Tất cả dữ liệu có sẵn miễn phí cho bất cứ ai có quyền truy cập Internet”, đại diện Social Data cho biết.

Về cơ bản, hành động này là hợp pháp ở Mỹ, nhưng trong điều khoản sử dụng của hầu hết các nền tảng trực tuyến hiện nay đều có quy định cấm thu thập dữ liệu tự động, kể cả những thông tin công khai. Một số tổ chức thậm chí còn bán thông tin từ các cơ sở dữ liệu này cho các công ty khác.

Vấn đề lộ dữ liệu người dùng đã được đề cập rất nhiều lần trong thời gian gần đây. Đầu năm 2020, The New York Times từng xuất bản một bài báo về Clearview AI – công ty khởi nghiệp chuyên cung cấp phần mềm nhận dạng khuôn mặt cho các cơ quan thực thi pháp luật tại khu vực Bắc Mỹ. Công ty đã xây dựng cơ sở dữ liệu hình ảnh bằng cách sử dụng những thông tin công khai có sẵn từ một số trang web như Facebook, Twitter và YouTube.

Sau khi phát hiện, cả ba công ty đều gửi yêu cầu Clearview AI ngừng hành động này. Clearview AI lập luận rằng họ có quyền thu thập dữ liệu mà mọi người công khai trên mạng Internet.

Góc quảng cáo