Une base de données contenant des informations sur 235 millions d'utilisateurs d'Instagram, de TikTok ou encore YouTube a fuité sur le web. Le fichier non protégé par mot de passe pouvait être consulté librement avec son lot d'informations telles que les noms, les adresses email et numéros de téléphone des utilisateurs, ou encore leurs photos de profil.

Ces fichiers appartiennent à une entreprise du nom de Social Data. Les données d'utilisateurs de YouTube, Instagram et TikTok ont été récupérées via la technique du web scraping. Celle-ci permet d'extraire des données à partir de pages web grâce à des robots d'exploration. De nombreuses sociétés d'analyse y ont recours et vendent ensuite les données à d'autres entreprises ou s'en servent pour fournir des conseils en stratégie marketing.

Le scraping est aussi une technique privilégiée des hackers pour créer des bases de profils ciblés dans des campagnes de phishing ou de spams publicitaires. Dans le cas d'espèce, les fichiers ont été identifiés par un chercheur en sécurité du nom de Bob Diachenko, de la société Comparitech. Ils contenaient des informations de près de 190 millions de profils Instagram, 42 millions de profils TikTok et 4 millions de profils YouTube.

Les fichiers ont été supprimés des serveurs d'hébergement

Selon le chercheur, ces fichiers appartenaient à une entreprise du nom de Deep Social qui a visiblement arrêté ses services après avoir été bannie des APIs de Facebook et d'Instagram, puis menacée de poursuites judiciaires en 2018. On ne sait de quelle manière Social Data a hérité de ces données. Dans un communiqué, un porte-parole de la société a refuté tout lien avec Deep Social et indique pour sa défense que les fichiers pointés du doigt contenaient des informations accessibles publiquement. Pour autant, l'entreprise a supprimé les fichiers en question de leurs serveurs d'hébergement après la découverte du chercheur.

« Veuillez noter que la connotation négative selon laquelle les données ont été piratées implique que les informations ont été obtenues subrepticement. Ce n'est tout simplement pas vrai, toutes les données sont disponibles gratuitement à toute personne ayant accès à Internet », explique Social Data dans son communiqué. Seulement, ce plaidoyer n'est qu'une fuite en avant.

La plupart des réseaux sociaux y compris  YouTube, Instagram et TikTok interdisent le scraping dans leurs conditions d'utilisation. De plus, cette pratique va à l'encontre des dispositions du RGPD en Europe qui protègent les utilisateurs d'une exploitation de leurs données sans leur aval.

Ce n'est pas la première fois qu'une fuite de données similaire touche un réseau social. L'année dernière, les numéros de téléphone de 267 millions d'utilisateurs Facebook s'étaient retrouvés sur Internet dans une autre base de données non protégée.

Source : Comparitech