Linkedin ha subito uno dei data breach più grandi mai riscontrati sul web. 700 milioni di utenti risultano compromessi da questo attacco.
Dopo un attacco recente di aprile, in cui 500 milioni di dati personali erano stati trafugati, Linkedin deve fare ora fronte ad un secondo attacco, compiuto tra il 27 e il 29 giugno, ancora più corposo del precedente.
I dati disponibili sono già in vendita nel Dark Web. Nel database presentato è possibile trovare diverse informazioni personali di varia natura.
Linkedin: l’attacco è reale?
“GOD User” TomLiner, l’hacker che ha messo in vendita questo enorme database comprendente numeri di telefono, indirizzi di casa, geolocalizzazioni e stipendi, per dimostrare la veridicità di tale informazione ha pubblicato un sample contenente 1 milione di utenti.
Grazie a questa informazione è stata così garantita la genuinità dell’attacco.
Restoreprivacy ha esaminato nel dettaglio il campione dei dati e sottolinea che le informazioni appaiono autentiche, riconducibili ad utenti realmente esistenti, e aggiornate – ci sono record con dati del 2020 e del 2021. Non sembra che le informazioni sottratte comprendano le credenziali di accesso all’account LinkedIn.
Com’è avvenuto l’attacco?
Al contrario di quanto successo con Facebook, per Linkedin non si parla di un attacco al server principale. L’attacco è avvenuto tramite Web Scraping: i bot collezionano dati già pubblici e li riordinano per la vendita illegale.
Linkedin, in un comunicato ufficiale datato 29 giugno, aveva riferito di aver indagato su presunti dati in vendita e che non si trattava di informazioni trafugate tramite una violazione dei server della società. Tuttavia, riportano come l’attività di Web Scraping che ha interessato questa fuga sia in qualche modo legata ai siti che riportano i dati, tramite API, di Linkedin.
Trattandosi tra l’altro di un social improntato sui contatti di lavoro e su dati anche privati resi disponibili volontariamente per possibili collaborazioni o attività lavorative, il web scraping riesce a raccogliere informazioni anche sensibili e quindi vendibili.
“Vogliamo essere chiari sul fatto che questa non è una violazione dei dati e che nessun dato privato dei membri di LinkedIn è stato esposto. La nostra indagine iniziale ha rilevato che questi dati sono stati acquisiti mediante scraping da LinkedIn e da altri siti web e comprendono gli stessi dati riportati in precedenza quest’anno nel nostro aggiornamento sullo scraping di aprile 2021. Gli utenti si fidano di Linkedin e qualsiasi uso improprio dei dati dei nostri membri, come lo scraping, viola i nostri termini di servizio.”
Cosa accadrà ora?
Dato che il numero di account è stato confermato, è facile pensare che all’interno ci siano diversi utenti italiani. Il garante della privacy era già intervenuto in passato, in eventi simili, aprendo un’istruttoria.
Questo sarà sicuramente il primo passo da parte delle autorità.
Ma per gli utenti?
Il primo passo da fare è cambiare immediatamente la password dell’account. A seguito si consiglia di attivare un’autenticazione a due fattori come quella di Authy per garantire la massima sicurezza dei dati.
C’è però da sottolineare un dato abbastanza importante: la falla si è aperta tramite l’API di Linkedin.
Questo vuol dire che, anche prendendo le giuste contromisure, i nostri dati possono rimanere esposti fino a che il social stesso non ripara il bug. E non è detto che possano riuscirci in tempi brevi.
Fate dunque attenzione ai tentativi di phishing, alle violazioni degli account e ai possibili furti d’identità. Questo è il fattore più importante durante una situazione come quella attuale.
pUZDTdVNjan