Sul portale hacker RaidForums sono stati messi in vendita i dati di 700 milioni di utenti di LinkedIn. I dati del 92% degli utenti e adesso sono venduti dagli hacker online, sul dark web. Cosa è successo e quali sono le conseguenze.
Il 22 giugno scorso sul portale RaidForums, popolare tra la comunità hacker, è stato pubblicato un post in cui un utente affermava di essere in possesso di 700 milioni di registri degli utenti del social network LinkedIn, e di volerli vendere a un prezzo non esplicitato.
LinkedIn conta in totale circa 750 milioni di utenti.
A confermare la notizia la stessa società che gestisce il social network, ma non LinkedIn in sé che ha invece smentito, oltre che dal sito web Privacy Shark, secondo il quale si tratta della più grande fuga di dati di sempre.
È il secondo furto di massa che colpisce la piattaforma, ma questa volta il breach ha riguardato i dati del 92% degli utenti.
Non è la prima volta per il social del lavoro
I dati di quasi tutti gli utenti di LinkedIn sono stati rubati e messi in vendita online nel dark web.
Si tratta di un database composto da informazioni aggiornate e reali di quasi un milione di utenti iscritti alla piattaforma.
Il furto mastodontico è stato reso possibile dall’utilizzo API ufficiale di LinkedIn per effettuare il download dei dati, un sistema già utilizzato lo scorso aprile, durante un altro furto di dati. Nel precedente data breach furono trafugate circa 500 milioni di voci, provenienti dai server di LinkedIn, come confermato dalla stessa azienda.
Quali sarebbero i dati trafugati?
Stando a quanto riportato da RestorePrivacy, un sito di informazioni sulla privacy, le informazioni prelevate dai profili LinkedIn sarebbero state queste:
- Indirizzi email
- Nomi completi
- Numeri di telefono
- Indirizzi fisici
- Record di geolocalizzazione
- Nome utente LinkedIn e URL del profilo
- Esperienza/precedenti personali e professionali
- Generi
- Altri nomi utente di account di social media
Visto che alcune informazioni sensibili pare non siano state prese, molto probabilmente gli hacker hanno fatto un “semplice” scraping del sito web del noto social network.
In pratica pare sia stata fatta una singola richiesta o visita, simile a un utente reale che visita una pagina web, ma la somma di tutte le visite lascia allo scraper un enorme database di informazioni.
PrivacySharks spiega che i dati leakati e messi in vendita rappresentano un rischio per gli utenti di LinkedIn, che potrebbero ricevere messaggi spam o truffe varie nelle proprie caselle mail o nei propri telefoni, o anche diventare vittime di furti di identità.
Gli utenti presenti nella lista dei dati leakati potrebbero anche ricevere pubblicità online più mirate sulla base dell’età, del genere e dell’occupazione.
I dati pubblicati, comunque, non sembrano contenere dettagli sulle carte di credito o copie dei messaggi privati.
PrivacySharks consiglia agli utenti di utilizzare password sicure e non le sconsigliabili “password” o “123456”, per evitare che i malintenzionati – conoscendo già l’indirizzo email – riescano ad accedere ai loro account LinkedIn.
LEGGI ANCHE: LinkedIn lancia la funzione di video candidatura per la ricerca di un lavoro
Come ha risposto la piattaforma
In definitiva pare che LinkedIn non sia stato in grado di risolvere il problema, servendo su un piatto d’argento i dati degli utenti iscritti alla piattaforma ai malintenzionati.
Leonna Spilman di LinkedIn ha affermato a Privacy Shark che non c’è stata alcuna violazione, ecco le sue parole:
“La nostra analisi iniziale indica che il set di dati include informazioni ottenute da LinkedIn come nonché informazioni ottenute da altre fonti. Non si trattava di una violazione dei dati di LinkedIn e la nostra indagine ha stabilito che nessun dato privato dei membri di LinkedIn è stato esposto”.
“La nostra indagine iniziale”, prosegue l’azienda, “ha rilevato che questi dati sono stati estrapolati [in gergo tecnico si parla di scraping, ndr] da LinkedIn e da vari altri siti web e includono gli stessi dati riportati nei mesi scorsi nel nostro aggiornamento sullo scraping di aprile 2021″, quando erano stati messi in vendita sul web i dati di quasi 500 milioni di utenti del social network. “Gli utenti si fidano di Linkedin e qualsiasi uso improprio dei dati dei nostri membri, come lo scraping, viola i nostri termini di servizio.”
Quindi potrebbe essere una buona notizia?