Des millions de profils sociaux divulgués par des chinois

200 millions d’utilisateurs de Facebook, Instagram et LinkedIn visés

Une jeune entreprise chinoise a divulgué 400 Go de données supprimées, exposant plus de 200 millions d’utilisateurs de Facebook, Instagram et LinkedIn.

Socialarks, société chinoise de gestion de médias sociaux de haut vol et en pleine croissance, a subi une énorme fuite de données qui a entraîné l’exposition de plus de 400 Go de données personnelles, dont celles de plusieurs célébrités et influenceurs de médias sociaux.

Article original en Anglais : safetydetectives.com – Par Jim Wilson January 11, 2021

La base de données non sécurisée ElasticSearch de la société contenait des informations personnelles identifiables (IPI) provenant d’au moins 214 millions d’utilisateurs de médias sociaux du monde entier, utilisant à la fois des plateformes de consommateurs populistes telles que Facebook et Instagram, ainsi que des réseaux professionnels tels que LinkedIn.

Le cas Elastic a été découvert dans le cadre de la mission de cybersécurité des inspecteurs de sécurité, qui consiste à découvrir les vulnérabilités en ligne susceptibles de présenter des risques pour le grand public. Une fois que le propriétaire des données est identifié, notre équipe informe les parties concernées dès que possible afin de réduire le risque d’éventuelles violations de la cybersécurité et de fuites de serveurs.

Dans le cas de Socialarks, notre équipe a découvert que le serveur ElasticSearch était exposé publiquement sans protection par mot de passe ni cryptage, lors de contrôles de routine des adresses IP de bases de données potentiellement non sécurisées.

L’absence de dispositif de sécurité sur le serveur de l’entreprise signifiait que toute personne en possession de l’adresse IP du serveur aurait pu accéder à une base de données contenant les informations privées de millions de personnes.

Selon Anurag Sen, chef de l’équipe de cybersécurité des Safety Detectives, la base de données concernée contenait une “énorme mine” d’informations personnelles sensibles, soit 408 Go et plus de 318 millions d’enregistrements au total.

Compte tenu de l’ampleur de la fuite de données, il a été très difficile pour notre équipe de déterminer l’étendue des dommages potentiels.

Notre équipe de recherche a pu déterminer que la totalité des données divulguées a été “grattée” des plateformes de médias sociaux, ce qui est à la fois contraire à l’éthique et à la violation des conditions de service de Facebook, Instagram et LinkedIn.

En outre, il est important de noter que Socialarks a subi une violation similaire des données en août 2020, ce qui a entraîné l’exposition des données de 150 millions d’utilisateurs de LinkedIn, Facebook et Instagram.

Presque comme une copie carbone, la violation de la base de données d’août a révélé des quantités de données personnelles de 66 millions d’utilisateurs de LinkedIn, 11,6 millions de comptes Instagram et 81,5 millions de comptes Facebook.

Grâce aux données divulguées que nous avons découvertes, il a été possible de déterminer les noms complets des personnes, leur pays de résidence, leur lieu de travail, leur poste, les données des abonnés et leurs coordonnées, ainsi que des liens directs vers leurs profils.

Qui sont les Socialarks ?

Basée à Shenzhen et à Xiamen, Socialarks est une entreprise tentaculaire qui possède plus de dix succursales régionales réparties dans le sud de la Chine, y compris dans des points chauds très peuplés comme Pékin, Shanghai, Shenzhen, Guangzhou, Ningbo et Suzhou.

L’entreprise a été fondée par Jinbin Sun en 2014 (qui est toujours le PDG de l’entreprise à ce jour) en tant que “solution efficace pour les transactions de commerce extérieur” par l’intermédiaire de la société Shenzhen Benniao Social Technology Co, Lmt.

Selon Socialarks, la société est une “société de gestion des médias sociaux transfrontaliers qui se consacre à la résolution des problèmes actuels de création de marques, de marketing, de commercialisation, de gestion sociale des clients dans le secteur du commerce extérieur de la Chine”.

L’entreprise utilise une plateforme de gestion de données (DMP) pour effectuer un marketing automatisé et précis pour diverses entreprises à travers la Chine et a déployé des applications iOS et Android ces dernières années.

Qu’est-ce qui a fait l’objet de la fuite ?

Le serveur de Socialarks contenait des profils mis au rebut de plus de 214 millions d’utilisateurs de médias sociaux, obtenus de Facebook, Instagram et LinkedIn.

La base de données contenait plus de 408 Go de données et plus de 318 millions d’enregistrements.

Sans aucune protection, notre équipe de recherche a découvert ce qui suit :

11.651.162 profils d’utilisateurs Instagram
66 117 839 profils d’utilisateurs LinkedIn
81.551.567 profils d’utilisateurs Facebook
55 300 000 profils Facebook supplémentaires qui ont été sommairement supprimés quelques heures après que notre équipe ait découvert le serveur et sa vulnérabilité.
Ce qui est surprenant, c’est que le nombre de profils touchés par la fuite de données découverte par notre équipe est le même que celui mentionné dans la fuite de données du mois d’août. Cependant, il y avait de grandes différences, telles que la taille d’une base de données, les entreprises qui hébergent ces serveurs et le nombre d’indices.

Le serveur concerné, hébergé par Tencent, a été segmenté en indices afin de stocker les données obtenues de chaque source de médias sociaux. Notre équipe a découvert des indices provenant de 3 grandes plateformes de médias sociaux : Instagram, Facebook et LinkedIn.

Données d’Instagram

L’index Instagram contient diverses personnalités populaires et célébrités en ligne.

Notre équipe a découvert plusieurs personnalités influentes dans la base de données exposée, y compris des blogueurs alimentaires importants, des célébrités et d’autres personnes influentes dans les médias sociaux.

Profil de la célébrité Instagram comprenant un numéro de téléphone et une adresse électronique.

Chaque enregistrement contenait des données publiques extraites des comptes des influenceurs d’Instagram, y compris leurs biographies, des photos de profil, des totaux de suivi, des paramètres de localisation ainsi que des informations personnelles telles que des coordonnées sous forme d’adresses électroniques et de numéros de téléphone.

Les enregistrements de l’Instagram ont révélé les détails suivants :

Nom et prénom
Numéros de téléphone pour plus de 6 millions d’utilisateurs
Adresses électroniques pour plus de 11 millions d’utilisateurs
Lien vers le profil
Nom d’utilisateur
Photo de profil
Description du profil
Nombre moyen de commentaires
Nombre d’adeptes et comptage des adeptes
Pays de localisation
Localité spécifique dans certains cas
Hashtags fréquemment utilisés
Données Facebook

Comme mentionné plus haut, la fuite a révélé 81,5 millions de profils d’utilisateurs Facebook avec plus de 40 millions de numéros de téléphone exposés et 32 millions d’entrées d’adresses électroniques supplémentaires. Il est à noter que la plupart des numéros de téléphone découverts par notre équipe provenaient de pages et non d’individus.

Les enregistrements de Facebook ont révélé les détails suivants :

Nom complet
Texte “À propos
Adresses électroniques
Numéros de téléphone
Pays de localisation
Le nombre de “Like, Follow et Rating” compte
Identification du messager
Lien Facebook avec les photos de profil
Lien vers le site web
Description du profil
Données LinkedIn

Enfin, notre équipe a découvert 66,1 millions de profils d’utilisateurs LinkedIn avec pas moins de 31 millions d’adresses électroniques divulguées (non divulguées dans le profil mais obtenues par d’autres sources encore inconnues).

Les dossiers LinkedIn ont révélé les détails suivants :

Nom complet
Adresses électroniques
Profil du poste, y compris le titre du poste et le niveau d’ancienneté
Lien vers le profil LinkedIn
Balises d’utilisateur
Nom de domaine
Noms de connexion des comptes de médias sociaux connectés, par exemple, Twitter
Nom de la société et marge bénéficiaire

La recherche dans la base de données montre 66 millions de résultats de profils LinkedIn comprenant des informations personnelles telles que le titre du poste, le nom et l’adresse électronique

Le graphique ci-dessous présente un exemple de répartition des profils d’utilisateurs, triés par pays, à partir d’un échantillon de 42 millions d’enregistrements.

Présence inexpliquée de données personnelles Instagram et LinkedIn

La base de données de Socialarks contenait des données raturées, y compris des informations personnelles, bien que les données des utilisateurs aient été partiellement complétées.

Cependant, selon nos conclusions, la base de données de Socialarks stockait des données personnelles pour les utilisateurs d’Instagram et de LinkedIn, telles que des numéros de téléphone privés et des adresses électroniques pour les utilisateurs qui ne divulguaient pas ces informations publiquement sur leurs comptes. On ne sait toujours pas comment Socialarks a pu avoir accès à ces données.

De plus, le fait qu’une base de données aussi importante, active et riche en données ait été laissée complètement non sécurisée (probablement pour une deuxième fois) est étonnant.

On ne sait toujours pas comment l’entreprise a réussi à obtenir des données privées à partir de multiples sources sécurisées.

Socialarks est basé en Chine et a été fondé avec du capital-risque privé en 2014, tandis que le serveur vulnérable est situé à Hong Kong.

Impact de la violation des données

Avec l’expansion rapide des services et des plateformes en ligne connectés de manière transparente, le piratage de données est devenu courant en ligne, étant donné la valeur des informations obtenues et le fait que cette pratique est légale si elle est autorisée par l’utilisateur dans le cadre de l’acceptation des conditions d’utilisation.

La plupart des opérations de collecte de données sont totalement inoffensives et sont effectuées par des développeurs web, des analystes de veille économique, des entreprises honnêtes telles que des sites de réservation de voyages, ainsi qu’à des fins d’études de marché en ligne. Cependant, même si ces données sont obtenues légalement – si elles sont stockées sans une cybersécurité adéquate – des fuites importantes affectant des millions de personnes peuvent se produire.

Il est important de noter que l’effacement de données est considéré comme une pratique légale s’il est effectué de manière éthique. Dans le cas de SocialArks, des informations privées ont été obtenues de multiples sources et complétées par des données raturées. En outre, le serveur de l’entreprise n’était pas suffisamment sécurisé et n’était pas du tout sécurisé.

Lorsque des informations privées, y compris des numéros de téléphone, des adresses électroniques et des informations sur la naissance, sont extraites et/ou divulguées, les criminels sont habilités à commettre des actes odieux, notamment des vols d’identité et des fraudes financières.

Étant donné que les extractions de données sont effectuées par des robots automatisés, cela peut signifier que des millions d’utilisateurs innocents peuvent voir leurs informations collectées, stockées (et potentiellement divulguées) dans un court laps de temps, sans même en avoir conscience.

Les plateformes de médias sociaux comme Facebook permettent aux utilisateurs d’accéder à des sites web tiers en utilisant leurs informations de connexion existantes sur Facebook. Cependant, si les protocoles de sécurité ne sont pas correctement mis en place, les pirates peuvent déployer des “robots racleurs” pour extraire des informations privées.

Dans certains cas, les données supprimées peuvent être utilisées pour atteindre un objectif spécifique d’extraction d’informations personnelles à des fins criminelles. Les ramifications potentielles de l’exposition d’informations personnelles comprennent le vol d’identité et la fraude financière menés sur d’autres plateformes, y compris la banque en ligne.

Les coordonnées peuvent être exploitées pour cibler les personnes au moyen d’escroqueries ciblées, notamment par l’envoi de courriels personnalisés contenant d’autres informations personnelles sur la cible, ce qui permet de gagner leur confiance et de préparer le terrain pour une intrusion plus profonde dans leur vie privée.

Les utilisateurs peuvent également être ciblés par des clics qui conduisent à l’installation de logiciels de phishing et de logiciels malveillants nuisibles.

Le partage d’informations personnelles telles que le nom et le prénom, l’adresse physique et électronique et le numéro de téléphone portable peut être utilisé par des pirates informatiques malveillants pour lancer des “attaques de masse”.

De plus, de grandes quantités de données, comme celles divulguées par Socialarks, peuvent ensuite être vendues ou fournies à d’autres parties malveillantes, ce qui rend les conséquences potentielles du grattage de données encore plus étendues et plus graves.

Les célébrités et les personnalités de premier plan sont parmi les plus exposées aux failles de la cybersécurité et aux fuites de données.

Si des informations personnelles appartenant à des célébrités sont divulguées, cela ouvre la porte à toute une série de formes de criminalité malveillante, notamment le chantage, l’extorsion et le harcèlement. Les personnes très en vue peuvent attirer des millions de personnes et, plus l’intérêt est grand, plus la cybersécurité ou les risques réels sont importants.

Prévention de l’exposition aux données

Comment pouvez-vous empêcher que vos informations personnelles soient exposées lors d’une fuite de données et vous assurer que vous ne serez pas victime d’attaques – cybernétiques ou réelles – en cas de fuite ?

Faites attention aux informations que vous donnez et à qui
Vérifiez que le site web sur lequel vous vous trouvez est sécurisé (recherchez https et/ou un cadenas fermé)


Ne donnez que ce que vous estimez ne pas pouvoir être utilisé contre vous (évitez les numéros d’identification gouvernementaux, les préférences personnelles qui pourraient vous causer des ennuis si elles étaient rendues publiques, etc.)


Créez des mots de passe sûrs en combinant des lettres, des chiffres et des symboles


Ne cliquez pas sur les liens contenus dans les courriers électroniques, sauf si vous êtes sûr que l’expéditeur est légitimement celui qu’il représente
Vérifiez tous les comptes de médias sociaux (même ceux que vous n’utilisez plus) pour vous assurer que la confidentialité de vos messages et de vos données personnelles n’est visible que pour les personnes en qui vous avez confiance


Évitez d’utiliser les informations relatives aux cartes de crédit et de taper des mots de passe sur des réseaux Wi-Fi non sécurisés
En savoir plus sur ce qui constitue la cybercriminalité, les meilleurs conseils pour prévenir les attaques de phishing et comment éviter les logiciels de rançon