El equipo de investigación de seguridad de Comparitech reveló una fuga en una base de datos no segura que dejó casi 235 millones de perfiles de usuario de Instagram, TikTok y YouTube expuestos en línea.
Una revisión del caso sugiere que actualmente hay 15 mil millones de inicios de sesión robados en más de 100.000 fugas de datos, incluso alguien que regala 386 millones de registros robados de forma gratuita. No todos estos datos han sido hackeados, al menos no en el sentido habitual de la palabra, sino que la mayoría provienen de bases de datos mal securizadas.
Las bases de datos no seguras se están convirtiendo rápidamente en un problema de protección de datos. It has become such a big problem that it is believed a security researcher is behind the series of attacks “Meow”, attacks that overwrite the indexes of thousands of those databases.
The Meow bot seems to exist solely to destroy those databases that are left open and exposed online, without any access control. It is called that because the automated script overwrites the indexes with random numerical strings with the word “meow” added. This action, seems to affect both exposed Elasticsearch and MongoDB instances and deletes the database information.
The data discovered by Comparitech, was distributed across several datasets. Las fugas más importantes son dos que llegan a poco menos de 100 millones cada una y contienen registros de perfil extraídos de Instagram. La tercera más grande fue de unos 42 millones de usuarios de TikTok, seguido de poco menos de 4 millones de perfiles de usuario de YouTube.
Aunque los datos son de acceso público, el hecho de que se hayan filtrado en conjunto como una base de datos bien estructurada los hace mucho más valiosos de lo que sería cada perfil de forma aislada. Sería fácil para un bot usar la base de datos para publicar comentarios de spam específicos en cualquier perfil de Instagram que coincida con los criterios, como el sexo, la edad o el número de seguidores.
Mientras dure este alboroto, recomendamos a los usuarios de Instagram, TikTok y YouTube, que estén especialmente alerta a estafas de phishing por correo electrónico o comentarios en las redes sociales.