Les données de 235 millions d’utilisateurs d’Instagram et TikTok en fuite

Sur le web

Par Remi Lou le

Une base de donnée non protégée et disponible librement sur la toile comprenait les informations personnelles de 235 millions d’utilisateurs d’Instagram, TikTok et YouTube. On pouvait y retrouver le nom réel des utilisateurs ainsi que la description de leurs comptes, les photos de profil, l’âge, le genre, le nombre d’abonnés et même les statistiques d’engagement.

Crédits : Solen Feyissa via Unsplash

Un chercheur en sécurité de Comparitech vient de faire la découverte d’une immense base de données compilant les informations de près de 235 millions d’utilisateurs de réseaux sociaux très plébiscités tels que YouTube, Instagram ou encore TikTok. Cette base de données non protégée et disponible librement sur le web comprenait pourtant une véritable mine d’or d’informations. On pouvait ainsi y retrouver aussi bien le nom réel de l’utilisateur que la description de son compte, la photo de profil, l’âge, le genre, le nombre d’abonnés et même les statistiques d’engagement de ceux-ci, comme l’âge et le sexe de l’audience, le taux de croissance, etc. Dans certains cas, on pouvait même y trouver le numéro de téléphone et l’adresse électronique, permettant à des personnes malintentionnées de propager des spams, voire même effectuer des tentatives de phishing.

Base de données non protégée, mais pas illégale

Pourtant, malgré l’ampleur de cette fuite massive et les données sensibles qui y sont associées, l’existence de cette base de données n’est pas illégale. D’après le chercheur en sécurité à l’origine de cette découverte, ces données ont été récupérées via la méthode du web-scaping, qui consiste à envoyer des robots explorateurs se balader sur des sites web pour y collecter des données. Celles-ci sont donc publiques, à la différence d’un hack plus traditionnel qui revient à violer consciencieusement la sécurité d’un site web pour y subtiliser des informations.

D’après Comparitech, cette base de données appartient à une entreprise répondant au nom de Social Data, qui aurait récupéré les fichiers de Deep Social, une autre entreprise qui a disparue des radars après avoir été bannie par Facebook et Instagram. « La connotation négative selon laquelle les données ont été piratées implique que les informations ont été obtenues subrepticement. Ce n’est pas vrai, toutes les données sont disponibles gratuitement à toute personne ayant accès à Internet » explique un porte-parole de Social Data dans un communiqué relayé par The Next Web.

Néanmoins, ce discours reste à prendre avec précaution. La pratique du web-scraping n’est certes pas illégale, du moins aux États-Unis, mais elle est strictement prohibée par les conditions d’utilisation des réseaux sociaux. En Europe, le RGPD interdit également cette pratique. Au total, la base de données non protégée compilait pourtant les données de 190 millions d’utilisateurs Instagram, 42 millions d’utilisateurs TikTok et enfin 4 millions d’utilisateurs de YouTube. Social Data a indiqué avoir supprimé tous ces fichiers.