据Cyber News消息,11 月 10 日,一名黑客在某黑客论坛上列出了一个待售数据集,声称它包含 4.89 亿 Instagram 用户数据。
Instagram 每月有超过 20 亿活跃用户,意味着如果这些数据被证明是真实的,将影响将近四分之一的用户。
黑客分享了 100 多条数据样本,包括用户名、姓名 、电子邮件等。虽然黑客者声称这些数据是 “新收集的”,但在黑客论坛上分享的数据的有效性通常值得怀疑。 据 Cybernews 研究人员称,数据样本中共享的 Instagram 配置文件似乎是真实的。
抓取的数据样本
数据集样本中的电子邮件地址并不存在于以前泄露事件的数据集中,可能意味着数据确实是新的,但也可能是故意伪造的。
至于这些数据是通过何种方式获取,研究人员称如果黑客的行为可信,并且通过抓取公共 API 获取数据,则意味着私有 Instagram API 已向公众暴露,或者其公共 API 受到了对象属性级授权(Broken Object Property Level Authorization)的攻击。
Cybernews 已联系 Instagram 的母公司 Meta 寻求置评,但尚未收到回复。
虽然数据抓取处于法律灰色地带,但根据 Meta 的政策,未经公司许可,使用自动化获取数据违反了其条款。Meta 的网站声称有一个专门的外部数据滥用 (EDM) 团队,专注于检测和阻止抓取。
据说该团队还通过与威胁情报研究人员合作,并与有实力的托管供应商一起防止抓取的数据集在在线论坛上共享。
转自Freebuf,原文链接:https://www.freebuf.com/news/415153.html
封面来源于网络,如有侵权请联系删除
