L’allarme è stato lanciato su Twitter da Troy Hunt, uno dei responsabili sicurezza di Microsoft. Nel suo tweet, Hunt avvisava di essersi imbattuto in un annuncio nel Dark Web per la vendita di 167 milioni di indirizzi email e password di account Linkedin. Il “lotto” sarebbe in vendita per 5 Bitcoin, equivalenti più o meno a 2300 dollari.
Una ricostruzione plausibile è che il pacchetto di account sia collegabile all’attacco portato a Linkedin nel 2012, che aveva avuto come prima conseguenza la pubblicazione online di 6,5 milioni di email e password degli iscritti a Linkedin.
In quell’occasione, però, l’azienda aveva reagito forzando un reset delle password degli account coinvolti e invitando i suoi iscritti a modificare le credenziali di accesso il prima possibile.
Questo rende improbabile che ben 167 milioni di account siano ancora vulnerabili dopo quattro anni, anche perché nel 2012 Linkedin vantava poco meno di 200 milioni di utenti registrati.
L’ipotesi che i dati siano stati sottratti 4 anni fa arriva dalle dichiarazioni rilasciate dal portavoce del social network Cory Scott, che in un post pubblicato sul blog ufficiale di Linkedin ha esplicitamente fatto riferimento all’incidente del 2012.
Secondo quanto dichiarato da Scott, Linkedin sta reagendo attraverso il blocco di tutte le password impostate prima della data dell’attacco e che non sono state modificate da allora, invitando gli utenti Linkedin ad attivare il sistema di autenticazione a due fattori per proteggere al meglio i loro account.
Gli inviti via email sono effettivamente già arrivati, ma c'è da chiedersi se, vista la mole dell'effrazione, non sia più sensato procedere a un reset automatico delle credenziali di accesso per esser sicuri di arginare il problema.