Instagram・TikTok・YouTubeのユーザー情報2億3500万人分をデータ販売会社が無断公開していたことが判明

インフルエンサーの情報をマーケティング担当者に提供する会社が、Instgram・TikTok・YouTubeのユーザーの氏名・連絡先をはじめとした個人情報、合計2億3500万人分が含まれるデータベースを誰でもアクセスできる状態で公開していたことが判明しました。データはもともと各プラットフォームからウェブスクレイピングで取得されたものとみられます。

Social media data broker exposes nearly 235 million profiles scraped from Instagram, TikTok, and Youtube - Comparitech
https://www.comparitech.com/fr/blog/information-security/social-data-leak/

Data scraping firm leaks 235m Instagram, TikTok, YouTube user records
https://www.hackread.com/data-scraping-firm-leaks-instagram-tiktok-youtube-records/

235 Million Instagram, TikTok And YouTube User Profiles Exposed In Massive Data Leak
https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/

IT系情報サイト・Comparitechによると、ソーシャルメディアのインフルエンサーに関する情報をマーケティング担当者に販売するSocial Dataという企業が、各プラットフォームのユーザーの個人情報を含むデータベースを、パスワードなどの認証なしで見られる状態で公開していたとのこと。

公開されていたデータベースの内訳は、Instagramが約9600万件と約9500万件の2つ、TikTokが約4200万件、YouTubeが約390万件で、合計2億3500万件ほど。

含まれていた情報はプロファイル名、氏名、プロフィール写真、アカウントに関する説明、インフルエンサーとしての統計情報(フォロワー数・エンゲージメント率・フォロワー成長率・オーディエンス性別・対象年齢・いいね数など)、最終投稿日、年齢、性別。Comparitechの調べによると、データのうち約5分の1には電話番号かメールアドレスが含まれていたとのこと。

このデータの大半は、データセット名から、2018年まで活動していたデータ販売会社・Deep SocialがかつてマーケティングAPIを用いたウェブスクレイピングで取得したものであるとみられます。FacebookとInstagramは2018年にマーケティングAPIを禁止し、以後もデータ取得を続けるようであれば法的措置を執ると警告。これを受けてDeep Socialはデータ取得をやめてサービスを停止しました。

一方で、Social Dataは2019年8月ごろに現れたサービス。Comparitechでサイバーセキュリティ研究チームを率いるボブ・ディアチェンコ氏による問い合わせに対して、Social Dataの広報担当者はDeep Socialとの関係を否定し、あくまで公開されているプロファイルから公開情報を取得したものであると主張しました。ただ、本件に関する連絡を受けて、Social DataのCTOが危険性を認識し、当該データベースをホストしているサーバーは停止されたとのことです。