linkedin data breach

Dopo Facebook, ecco palesarsi un altro eclatante caso di (presunto) data breach

Vediamo i preoccupanti aspetti più salienti della questione e come la “follia di questo mondo” stia proponendo cure (o palliativi) peggiori del male.  

Chiara Ponti e Renato Castroreale
Ufficio Compliance

INDICE:

L’analisi della notizia

Parrebbe che siano tutt’ora in vendita 21 milioni di profili LinkedIn, contenenti dati personali (tra cui indirizzi e-mail, numeri di telefono, eventuali CV, esperienze lavorative, certificazioni, attestati, pubblicazioni, ecc.).

La questione è alquanto preoccupante poiché attraverso questi dati (specie se utilizzati congiuntamente) è facile costruire finti profili/furti di identità o utilizzare tecniche di social engineering al fine di perpetrare attacchi malevoli verso anche Organizzazioni.

Parrebbe che non si sia trattato di una sottrazione diretta di dati dai server di LinkedIn, ma di un altro caso di scraping, come già avvenuto per Facebook.

La situazione resta quindi assai grave, ed altrettanto preoccupante per una probabile escalation di questo tipo di attacchi.

Alla luce delle prime evidenze ancora al vaglio, si tratterebbe del trafugamento di circa un miliardo di dati di varia natura, riconducibili tra l’altro a circa 21 milioni di italiani.

Dati che risultano essere stati messi in vendita sul dark web a pacchetti di 1.500,00 euro cadauno.

Le responsabilità

Quando decidiamo in modo più o meno consapevole, di iscriverci a quella che di fatto è oggi la “vetrina” sul mondo del lavoro, cediamo parte delle nostre informazioni (talvolta anche particolari – ex sensibili) a terze parti.

Ma che fine fanno i nostri dati?

Ancora troppo spesso non pensiamo abbastanza agli episodi che come questo potrebbero verificarsi, ed è cosi che si creano i presupposti che questi accadano in un men che non si dica.

Difficile pertanto allocare precise responsabilità in tale ambito, giacché da un lato abbiamo un operatore di servizi di primaria importanza come LinkedIn (tenuto ad adottare adeguate misure di sicurezza a protezione dei dati personali), e dall’altro abbiamo nostri dati pubblicati o facilmente reperibili (tramite la richiesta di “collegamento” ad un altro profilo).

Il tutto con l’aggravante di tecniche di attacchi sempre più sofisticate ed efficaci.

I rischi di sicurezza

Osservando l’accaduto in termini di sicurezza, l’elemento più eclatante è quello della mole di dati presumibilmente trafugati, e quindi venduti al miglior offerente.

Tecnicamente il data scraping non è una metodologia di raccolta di credenziali particolarmente complessa, anzi risulta essere piuttosto semplice da attuare, ed in tempi anche contenuti.

LinkedIn e Facebook: due casi con aspetti comuni

Sia LinkedIn che Facebook potevano evitare quanto accaduto.

Entrambi infatti erano già al corrente del rischio “scraping” dal 2017, ma ciò nonostante hanno preferito ignorare il problema.

Rammentiamo che la tecnica di scraping utilizza dei semplici software (bots) di facile sviluppo, che consentono di accedere ai siti web e poterne scaricare l’intero contenuto.

Dato che la stessa tecnica viene utilizzata da bots non malevoli (come ad esempio quelli di Google) spesso diventa difficile distinguere un vero attacco da un’attività lecita.

Intendiamoci: difficile ma non impossibile, e da due colossi quali LinkedIn e Facebook ci dovrebbe essere una soglia di attenzione assai più elevata.

 

L’intervento dell’Autorità Garante

In data 8 aprile, il Garante ha dichiarato che, dopo il furto di dati è stata avviata un’istruttoria relativamente al social network, avvertendo che l’utilizzo dei dati provenienti dalla violazione è illecito.

Di seguito, riportiamo integralmente il comunicato:

«Il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di LinkedIn a seguito della violazione dei sistemi del social network che ha determinato la diffusione di dati degli utenti, compresi ID, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili LinkedIn e a quelli di altri social media, titoli professionali e le altre informazioni lavorative inserite nei propri profili dagli utenti. Contestualmente, l’Autorità ha adottato un provvedimento con il quale avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati, ricorda il Garante, comporta conseguenze, anche di carattere sanzionatorio. Anche tenuto conto del fatto che l’Italia è uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma, l’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account. Questi dati infatti potrebbero essere utilizzati per una serie di condotte illecite, che vanno dalle chiamate e dai messaggi indesiderati sino minacce gravi come le truffe on line o il furto di identità o a fenomeni come il cosiddetto “SIM swapping”, una tecnica utilizzata per violare determinate tipologie di servizi online che usano il numero di cellulare come sistema di autenticazione.»

Il Garante per la protezione dei dati personali

Gli imbonitori del mestiere: le tragicomiche conclusioni

Non di meno preoccupanti sono gli improvvisati rimedi proposti da improbabili fornitori, volti a valutare l’effettiva esposizione dei propri dati o peggio per tentare un recupero gratuito degli stessi dal dark web. No!

Fate attenzione a non cadere in queste possibili trappole, poiché molte di queste soluzioni sono a loro volta un ulteriore tentativo di carpire informazioni/dati personali.

Nessuno è dotato di “bacchetta magica”, ed è in grado di produrre (tanto meno gratuitamente) pronte soluzioni per il recupero dei dati trafugati.

Nessuno regala nulla per niente.

Altra interessante chiave di lettura è quella che tali software, seppur leciti e realizzati in buona fede senza alcun intento fraudolento, in realtà si muovono in un terreno alquanto delicato, partendo da una raccolta illegittima (in assenza dei requisiti minimi di cui al GDPR) fin ad arrivare talvolta ad una vera propria forma di ricettazione penalmente rilevante ai sensi e per gli effetti di cui all’art. 648 c.p..

Condividi su facebook
Facebook
Condividi su twitter
Twitter
Condividi su linkedin
LinkedIn

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Scopri come preparare la tua organizzazione
a sostenere una Ispezione Privacy

corso ispezioni privacy gdpr
Giorni
Ore
Minuti

Formazione a distanza in aula virtuale.
I posti sono limitati, iscriviti subito