Ancora una volta un server non ben configurato e protetto: è questa la causa di un nuovo grande leak di dati personali, questa volta a carico della startup cinese Socialarks. Il problema coinvolge 200 milioni di persone a livello globale, ma oltre al problema relativo alla sicurezza emerge qualcosa di più grave, poiché afferente alla sfera etica.
400GB di dati prima raccolti, poi sfuggiti
La sicurezza è stata messa a repentaglio dal fatto che il server deputato di conservare i dati era in realtà completamente privo di protezioni, tanto che sarebbe stato sufficiente conoscere l’IP della macchina per potercisi connettere e scaricare tutte le informazioni desiderate. Il fronte etico alza però l’asticella dell’allarme perché, secondo quanto appurato dai ricercatori Safety Detectives, i dati non erano stati concessi in funzione di un più o meno estrapolato consenso da parte degli utenti: i dati erano, invece, frutto di uno scraping di massa sui social network.
Il database sfuggito di mano, insomma, era l’insieme di oltre 300 milioni di account depredati da Facebook, Instagram e LinkedIn. Il tutto emerge inoltre come una reiterazione di quanto già successo soltanto pochi mesi prima presso la medesima startup. Insomma: un problema che sembra ben più strutturale e ben meno casuale di quanto non si potesse superficialmente immaginare. Socialarks, da parte sua, dovrebbe essere una agenzia di media entità che si occupa di marketing e brand positioning: quanto emerso, però, sembra dipingere un profilo un tantino differente per la startup con sede a Shenzen.
Il database conteneva nello specifico 11 milioni di account Instagram, 66 milioni di profili LinkedIn e 81 milioni di utenti Facebook. Il server era depositato su host Tencent.
“Sulla base dei dati che abbiamo trovato“, spiega Safety Detectives, “è possibile determinare il nome completo, lo Stato di residenza, il luogo di lavoro, la posizione i contatti e un link diretto ai profili personali“. Alcuni aspetti restano però privi di spiegazione, quali ad esempio la scomparsa solerte di milioni di profili dopo la scoperta del server vulnerabile, nonché una serie di informazioni teoricamente non disponibili nemmeno a uno scraper. Difficile scoprire la natura dell’attività posta in essere, così come i possibili impatti sull’utenza inconsapevolmente coinvolta.