[Exponerade poster: 235 miljoner | Bransch: Sociala medier | Typ av attack: Skrapning]
En databas med 235 miljoner sociala medieprofiler hittades utan säkerhet av forskare med Comparitech. Även om dataskrapning är tekniskt lagligt strider det mot användarvillkoren för de berörda varumärkena.
Fakta:
Dataskrapning är handlingen att flytta information från en webbplats till en användbar form som ett Excel-kalkylblad eller en datafil. En sådan teknik kan vara godartad under vissa paradigmer. Till exempel använder resejämförelsesidor som Trivago och Kayak ett program som skrapar hotell- och flygplatssidor för priser som de sammanställer på sin webbplats. Dataskrapning används ofta av marknadsförare för att måla en tydligare bild av deras målbas och annonsera för dem därefter.
Skrapning och aggregering av sociala medier är dock ett effektivt sätt för hackare att snabbt och enkelt skala phishing-system och bedriva bedrägliga aktiviteter. Dessutom kan skrapad data säljas till företag som bedriver skräppost som ett medel för reklam. Även om skräppost fortfarande är lagligt i de flesta jurisdiktioner fördöms det som en legitim marknadsföringsstrategi. Slutligen används dataskrapning ofta på sociala medier för att stjäla innehåll från påverkare och lägga om det under ett bedrägligt konto. Det är av denna anledning som Facebook och Instagram förbjöd det nu nedlagda dataskrapningsföretaget, Deep Social, 2018.
Relaterat: Hur man kan spåra phishing-kampanjer i förväg
Den 1 augusti hittade Bob Diachenko, säkerhetsforskare på Comparitech, en databas på nästan 235 miljoner sociala medieprofiler som inte skyddades av ett lösenord eller autentiseringsåtgärder. Den skyldige, Social Data - som påstår sig inte vara ansluten till Deep Social - skrapade TikTok, YouTube och Instagram för data inklusive namn, kontakt- och personlig information och profilbilder. När de konfronterades tog sociala data bort uppgifterna och inkluderade detta uttalande till Diachenko i ett e-postmeddelande:
”Observera att den negativa konnotationen att data har hackats innebär att informationen inhämtats i hemlighet. Detta är helt enkelt inte sant, all information är tillgänglig fritt för ALLA med internetåtkomst. Jag skulle uppskatta det om du kunde se till att detta klargörs. Vem som helst kan fiska eller kontakta någon person som anger telefon och e-post i sin profilbeskrivning på det sociala nätverket på samma sätt även utan att det finns någon databas. [...] Sociala nätverk exponerar själva data för utomstående - det är deras verksamhet - öppna offentliga nätverk och profiler. De användare som inte vill ge information gör sina konton privata. [sic]"
Oavsett går skrapning emot sociala medier och kan vara farligt av ovan angivna skäl. Sociala varumärken har och fortsätter att aktivt bekämpa skrapaktiviteter med både lag och teknik. Det är dock svårt för system att skilja mellan en skrapa och en äkta webbplatsbesökare.
Lärdomar:
COVID-19 och work-from-home-lösningar öppnar dörren för hotaktörer på nya och kreativa sätt. Linjerna mellan arbete och hem suddas ut på sätt som går längre än pyjamasbyxor och sovrumskontor. Anställda växlar fram och tillbaka mellan personliga konton och företagskonton - eller värre, använder båda kontona för båda ändamål - och utövar inte alltid cybersäkerhetshygien.
Relaterat: Taktik och strategi för cybersäkerhet
Dessutom kommunicerar telependlare digitalt över flera plattformar. Med så mycket överlappning öppnar något så oskyldigt som dataskrapning på sociala medier en dörr som annars är stängd. Det är lätt att bli okänslig för ännu ett e-postmeddelande, vilket ger smarta phishing-system större chans att lyckas. Att kommunicera med medarbetare via sociala medier eller lägga upp statusuppdateringar om arbetsplatsen skapar ytterligare nätfiskefoder.
Nätfiske är ett nummerspel. Med de 250 miljoner skrapade sociala mediekontona kan hackare skapa en phishing-bot för att skicka ut stora mängder bedrägliga meddelanden med ett klick på en knapp. Företagen måste aktivt engagera sina anställda i cybersäkerhetsutbildning, testning och revision även om så många av dessa anställda arbetar hemifrån.
Snabbtips:
Medan skrapning förblir lagligt finns det enkla steg som individer kan vidta för att skydda sina sociala mediekonton från nätfiskeförsök och skräppost.
- Ställ in sociala mediekonton som privata - Webbskrapningsrobotar kan bara visa allmän information och data.
- Ta bort vänner du inte känner - Skrapbotar följer sociala mediekonton en massa för att skrapa din privata insiderinformation. Vänta inte människor du inte känner till och / eller inte kan lita på, och kontrollera din nuvarande lista över vänner och följare för konton som verkar vara falska.
- Håll affärer och personliga separata - Var noga med att använda företagskonton för affärsändamål och tvärtom. Medan kollegor ofta är vänner, bör alla arbetsprat hållas utanför sociala medier. Bästa praxis för distansarbete innebär att man föreslår att man använder en webbläsare för jobbet och en annan webbläsare för personliga.
Läs mer: Veckans incident
