Hacker dice che spogliare 700 milioni di utenti LinkedIn è stato fatto per divertimento

Il mese scorso è stato segnalato un hack di LinkedIn che ha esposto i dati di 700 milioni di utenti, ovvero il 92% di tutti gli utenti del servizio. I dati includevano la posizione, i numeri di telefono e gli stipendi detratti. L’uomo dietro l’operazione, che si fa chiamare “Tom Liner”, ha detto alla BBC che ha fatto l’hack per divertimento. In pochi mesi, LinkedIn è stato truffato due volte dagli hacker. In entrambi i casi è stato utilizzato lo stesso metodo: la scrematura. Quando si tratta di scraping, molti professionisti della sicurezza affermano che non si tratta di una violazione della sicurezza se i dati sono disponibili pubblicamente. Anche se non si ottengono informazioni finanziarie, è ancora preoccupante. In effetti, un semplice indirizzo email a volte può essere sufficiente per impersonare o eseguire attacchi di phishing mirati.

Lo scraping dei dati è un argomento controverso. Concretamente, lo scraping consiste nell’estrarre dati da un sito Web con un programma, quindi utilizzarlo o rivenderlo. Nella sua forma più semplice, comporta la scrittura di un programma che visita una pagina Web, legge i dati visualizzati e quindi li aggiunge a un database. Più comunemente, le persone utilizzano le API (interfacce di programmazione delle applicazioni) fornite da un servizio Web per scopi legittimi e le utilizzano per recuperare grandi quantità di dati.

Questa pratica è controversa, perché, da un lato, coloro che praticano lo scraping potrebbero sostenere che stanno accedendo solo a dati disponibili pubblicamente, lo stanno facendo in modo efficace. Altri affermano di abusare di strumenti non destinati a questo scopo e che ci sono più dati disponibili tramite le API di quelli visibili sui siti Web, rendendo difficile per gli utenti vedere quali dati sono stati esposti. La terminologia è persino oggetto di controversie. Molti professionisti della sicurezza affermano che non si tratta di una violazione della sicurezza se i dati sono disponibili pubblicamente. Ma se un servizio come LinkedIn non rileva che qualcuno sta effettivamente eliminando centinaia di milioni di record, non sembrerebbe un enorme buco di sicurezza?

READ  Traffico leggero morente su Nintendo Switch!

Raschiando LinkedIn per divertimento e profitto

La BBC ha parlato con l’uomo che ha preso i dati e ha rifiutato la sua identità come Tom Liner. Come ti sentiresti se un hacker indicizzasse tutte le tue informazioni e le inserisse in un enorme foglio di calcolo con milioni di voci, da vendere online al miglior offerente? È quello che un hacker che si fa chiamare “Tom Liner” ha fatto il mese scorso “per divertimento”.

L’hacker ha messo in vendita 700 milioni di account LinkedIn in un forum specializzato. L’importo richiesto era l’equivalente di circa 4.200 euro. Invia un campione gratuito con 1 milione di account per dimostrare che il contenuto è davvero reale. I controlli hanno mostrato che i dati appartenevano effettivamente ai dichiaranti. C’erano nomi, indirizzi email, numeri di telefono, indirizzi postali, posizioni, nomi e link da profili LinkedIn, esperienze lavorative, genere e soprannomi da altri social network.

L’hacker dice che ci sono voluti diversi mesi per farlo. È stato molto complicato. Hai violato l’API di LinkedIn. Se fai troppe richieste di dati utente contemporaneamente, il sistema ti bandirà in modo permanente, dice. E una piccola sorpresa: il famoso Tom Liner assicura che tra i suoi affari c’era anche il furto di 533 milioni di account Facebook dello scorso aprile. Ci assicura che il metodo di recupero era relativamente simile tra Facebook e LinkedIn. Questo in entrambi i casi include l’abuso dell’API per raccogliere quante più informazioni possibili.

LinkedIn non ha divulgato in modo aggressivo i dati sui 700 milioni di utenti della sua piattaforma di networking dei lavoratori che è stata elencata per la vendita sul dark web per essere una violazione dei dati e insiste sul fatto che poiché i dati sono stati recuperati in un altro modo da attori malintenzionati non è colpa.

READ  Gli utenti di Windows 10 e Xbox ora possono sbarazzarsi di tutte le loro password

LinkedIn nega di utilizzare Liner per la sua API, ma la società di sicurezza informatica SOS Intelligence afferma che abbiamo bisogno di maggiori controlli sul suo utilizzo. I dettagli di questo caso e di altri eventi di scrematura di massa non sono di dominio pubblico come la maggior parte delle persone si aspetta, afferma Amir Hadibaish, CEO e fondatore di SOS Intelligence. Ritiene che i programmi API, che forniscono più informazioni sugli utenti rispetto al pubblico in generale, dovrebbero essere monitorati da vicino.

Fughe di notizie su larga scala come questa sono preoccupanti, data la complessità di queste informazioni, in alcuni casi, come posizioni geografiche o telefoni cellulari privati, indirizzi e-mail… Per la maggior parte delle persone, è sorprendente che questi servizi di arricchimento API contengano molte informazioni , ha detto Hadipaić.

Troy Hunt, esperto di sicurezza e proprietario di haveibeenpwned.com afferma di non vedere l’abuso delle API come una violazione della sicurezza, ma concorda principalmente sulla necessità di un maggiore controllo. Non sono d’accordo con la posizione di Facebook e di altri, ma ho l’impressione che la risposta a “questo non è un problema”, anche se tecnicamente potrebbe essere corretta, passi. Sentire il valore di questo e quel dato utente può ridurre il loro ruolo nella creazione di questi database.

Fonte: BBC

E tu?

Quali sono i tuoi commenti sulla situazione?
I dati in vendita sono stati ottenuti raschiando i dati, da LinkedIn. Come proteggi i tuoi account sui social network da questa pratica?

Guarda anche:

Vendere i dati di 700 milioni di utenti LinkedIn o più del 92% dei 756 milioni di utenti totali: più raccolta di dati

Perché la presunta perdita di dati della Clubhouse è probabilmente solo una “raschiatura” di dati, tutte le informazioni sembrano essere pubbliche?

I dati su 11 milioni di utenti francesi rubati dalla piattaforma di marketing Apollo sono stati messi in vendita e i file includono nomi e indirizzi

READ  Xiaomi Mi Band 6 NFC: presentato il braccialetto fitness con NFC

Una massiccia violazione dei dati espone le informazioni personali di 220 milioni di brasiliani, l’incidente è stato segnalato da dfndr lab, il laboratorio di sicurezza informatica di Psafe

You May Also Like

About the Author: Dario Calabresi

"Creatore. Piantagrane. Lettore. Nerd televisivo. Sostenitore orgoglioso della birra. Impossibile scrivere con i guantoni da boxe. Introverso. Praticante zombi certificato. Pensatore."

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *