В сеть попала база данных пользователей TikTok и Instagram
Злоумышленники взломали платформу Tiktopers и «слили» в открытый доступ более 5 тыс. адресов электронной почты и паролей
В сети в открытом доступе появилась база данных Tiktopers — приложения для продвижения аккаунта в TikTok и Instagram. Об этом пишет «Коммерсантъ» со ссылкой на автора канала «Утечка информации» Ашота Оганесяна. В базе содержатся более 5 тыс. адресов электронной почты, телефонов и зашифрованных пользователями сервиса паролей. По данным эксперта, в результате анализа 2 тыс. пар электронных адресов и паролей, 82% из них оказались уникальными.
В Tiktopers изданию заявили, что в «слитой» базе «неверная информация о пользователях»: «Личные данные блогеров, включая личные номера телефонов, хранятся вне сервера сайта. Все пароли пользователей в базе зашифрованы». По словам представителей сервиса, приложение в последний год постоянно сталкивается с хакерскими атаками, но никаких требований от взломщиков не поступало.
Сайт могли взломать конкуренты, считает партнер агентства по управлению репутацией и аналитике социальных медиа Digital Guru Ольга Соколова. Она отметила, что, несмотря на то, что «слитые» пароли зашифрованы, остальные данные можно использовать. Аналогичного мнения придерживается гендиректор Infosecurity a Softline Кирилл Солодовников: «С учетом того, что она содержит контактные данные, эти сведения также могут применяться в процессе социотехнических атак, которые подразумевают введение в заблуждение пользователя с преследованием личных целей». Например, злоумышленники могут связаться с блогером под видом службы поддержки TikTok и попросить перейти по ссылке, запустив вредоносную программу или поменяв пароль.
Если потерпевшие заявят о неправомерном доступе к их информации, ответственность за утечку может быть вплоть до уголовной, отмечает президент Международной коллегии адвокатов Москвы «Почуев, Зельгин и партнеры» Александр Почуев. Также Роскомнадзор может наложить на компанию, не обеспечившую безопасность данных, штраф за нарушение прав субъектов персональных данных. По оценке эксперта, иски в рамках взыскания убытков могут быть довольного крупного размера в случае кражи раскрученных аккаунтов. Но, как уточнил Почуев, на деле сложно доказать вину, и взыскиваемые судами суммы редко превышают 20 тыс. руб.