Software

LinkedIn, in vendita i dati di 700 milioni di utenti

LinkedIn sarebbe stato nuovamente vittima di un data breach, per la seconda volta in tre mesi: questo afferma un report che segnala una massiccia vendita di informazioni ottenute da 700 milioni di profili utente LinkedIn a maggio. Secondo Privacy Shark, la società VPN che per prima ha segnalato questo incidente, un venditore chiamato TomLiner ha mostrato loro di essere in possesso di 700 milioni di record di utenti Linkedin. Ciò significa che quasi tutti (92%) degli utenti di LinkedIn ne sono interessati.

RestorePrivacy, un sito di informazioni sulla privacy, ha esaminato la prova fornita dal venditore e ha trovato le seguenti informazioni, ottenute dai profili utente di LinkedIn:

  • Indirizzi email
  • Nomi completi
  • Numeri di telefono
  • Indirizzi fisici
  • Record di geolocalizzazione
  • Nome utente LinkedIn e URL del profilo
  • Esperienza/precedenti personali e professionali
  • Generi
  • Altri nomi utente di account di social media
Fonte: RestorePrivacy

Secondo quanto riporta anche MalwareBytes, le credenziali dell’account e i dettagli bancari non sembrano essere parte delle informazioni trapelate. Ciò suggerisce che i dati sono stati ottenuti con la tecnica del “web scraping” piuttosto che violati. Lo scraping si verifica quando qualcuno utilizza un programma per computer per estrarre dati pubblici da un sito Web, utilizzando il sito in un modo per cui non è stato concepito. Ogni singola richiesta o visita è simile a un utente reale che visita una pagina web, ma la somma di tutte le visite lascia allo scraper un enorme database di informazioni.

Secondo RestorePrivacy, il venditore ha abusato dell’API di LinkedIn, una tattica simile a quella utilizzata nella enorme “violazione” di LinkedIn di aprile e anche di Facebook nello stesso mese.

Leonna Spilman di LinkedIn ha affermato a Privacy Shark che non c’è stata alcuna violazione. “La nostra analisi iniziale indica che il set di dati include informazioni ottenute da LinkedIn come nonché informazioni ottenute da altre fonti. Non si trattava di una violazione dei dati di LinkedIn e la nostra indagine ha stabilito che nessun dato privato dei membri di LinkedIn è stato esposto.”

Alcuni utenti potrebbero essere sollevati nel sapere che sono stati divulgati solo dati che erano già pubblici. Ma bisogna considerare che se l’indirizzo email o il numero di contatto è disponibile per tutti, anche gli estranei, è rischioso. Si potrebbe diventare il candidato perfetto per le campagne di spam, ad esempio. A peggiorare le cose, più i truffatori sanno di una persona, più facile è per loro fingere di essere quella persona quando truffano gli altri, come amici e familiari.