Un nuovo Data Breach per LinkedIn Vediamone gli estremi.

Chiara Ponti
Ufficio Compliance

INDICE:

Un altro Data Breach di Linkedin?

É Privacy Shark a segnalare il presunto Data Breach di LinkedIn, ottenendo dalla stessa una asserita dichiarazione, in ragione della quale sarebbe avvenuta una seconda importante violazione, con l’esposizione di dati personali relativi a circa 700 milioni di utenti. In pratica, oltre il 92% del plesso complessivo di utenti di LinkedIn.

Secondo queste prime indiscrezioni, il database -in vendita sul dark web- offrirebbe dati inclusivi di numeri di telefono, indirizzi fisici, dati di geolocalizzazione ed anche stipendi (dedotti).

Sembrerebbe inoltre che il famigerato Hacker abbia abusato delle API (Application Programming Interface) messe a disposizione dal noto Job Seekers per il collegamento con sistemi esterni, proprio quello stesso metodo utilizzato nella precedente violazione di aprile.

 

Linkedin: cos’è successo?

Parrebbe che l’hacker, lo scorso 22 giugno, dopo aver carpito i dati, ne abbia pubblicato un significativo campione (1 milione di record circa) a fini “pubblicitari”, e dai primi controlli effettuati sembrerebbero confermati i timori circa l’autenticità ed aggiornamento degli stessi dati.

Da qui, la messa in vendita di informazioni anche personali, relative a circa 700 milioni di utenti LinkedIn, contenenti:

  • Indirizzi e-mail;
  • Nomi completi;
  • Generi;
  • Numeri di telefono;
  • Indirizzi fisici;
  • Dati di geolocalizzazione;
  • Nome utente LinkedIn ed URL del profilo;
  • Esperienze (personali e professionali);
  • Dati relativi ad altri account di social media;
  • Dati sui collegamenti;
  • Reddito stimato.

Il controllo incrociato dei dati del campione analizzato con altre informazioni pubblicamente disponibili sembrerebbe dimostrare la preoccupante situazione che vede dati autentici ed aggiornati, si riconducibili a soggetti “reali”.

 

Conclusioni e possibili ricadute

É sconcertante pensare che la violazione sia stata attuata nell’identica modalità di cui alla precedente, sfruttando debolezze delle funzioni basilari del sistema (API).

Nonostante la violazione non abbia riguardato un furto di credenziali, come osserva la stessa LinkedIn (la quale si difende sostenendo che i dati non siano stati ricavati solo dal loro sito, bensì da una miscellanea di dati ottenuta da più fonti poi messe a “fattor comune”), resta il fatto che si tratti di dati molto preziosi per i malintenzionati, utilizzabili per furti di identità e tentativi di phishing selettivi e mirati.

Se siete quindi utenti del noto Career Blog possiamo suggerirvi di prestare massima attenzione alle comunicazioni che potreste ricevere da qui ai prossimi mesi le quali, pur sembrando “ufficiali”, potrebbero invece nascondere insidie comportanti violazioni forse anche più pericolose di quella appena descritta.

Ci auguriamo, dunque, di non dover scriverci una terza puntata.

Occhio alla penna? No, ai dati!

Vuoi rimanere aggiornato su tutte le ultime novità in materia Privacy?

Iscriviti a Privacy Revolution.

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Pubblicato il:

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.