Une faille de base de données a révélé les données de près de 235 millions d’utilisateurs de TikTok, Instagram et YouTube.
Les données semblent avoir été collectées grâce à une pratique connue sous le nom de web-scraping, grâce à laquelle vous pouvez accéder à l’interface Web d’un service, puis collecter les données automatiquement. La procédure est différente d’un piratage classique, qui consiste plutôt à violer un système pour accéder à des données qui ne devraient pas être accessibles au public. Le Web-scraping n’accède qu’aux données publiques.
Par exemple, un système automatisé peut se connecter à une série de chaînes YouTube, collectant le nom d’utilisateur, la photo et le nombre d’abonnés du propriétaire de la chaîne. Une base de données entière de ces données devient un problème de confidentialité même si les données elles-mêmes sont accessibles au public.
Une fois que les données ont été collectées dans une base de données, elles devraient normalement être protégées, mais TNW a trouvé une base de données de 235 millions d’enregistrements sur le Web sans aucune protection par mot de passe.
Les données contenaient quatre ensembles d’informations principaux avec des détails sur des millions d’utilisateurs des plates-formes TikTok, Instagram et YouTube : nom de profil, nom complet, photo de profil, âge, sexe, statistiques d’abonnés, etc. Plus précisément, les données collectées contenaient :
- Nom de profil
- Nom complet et réel
- Image de profil
- Description du compte
- Si le profil appartient à une entreprise ou contient des publicités
- Statistiques d’engagement des abonnés, notamment : nombre d’abonnés, taux d’engagement, taux de croissance des abonnés, sexe de l’audience, âge de l’audience, position de l’audience
- J’aime
- Horodatage du dernier message
- Âge
- Genre
De plus, environ 20% des données contenaient également un numéro de téléphone ou une adresse électronique. Comme le note TNW, ce type de données peut être utilisé pour le spam, mais aussi pour les tentatives de phishing.
Le scraping Web est généralement interdit par les termes et conditions des services concernés, mais l’année dernière un tribunal californien a jugé qu’il n’était pas illégal, du moins aux États-Unis.
