Un nuovo Data Breach per LinkedIn?

Un nuovo Data Breach per LinkedIn Vediamone gli estremi.

Chiara Ponti

INDICE:

Un altro Data Breach di Linkedin?

É Privacy Shark a segnalare il presunto Data Breach di LinkedIn, ottenendo dalla stessa una asserita dichiarazione, in ragione della quale sarebbe avvenuta una seconda importante violazione, con l’esposizione di dati personali relativi a circa 700 milioni di utenti. In pratica, oltre il 92% del plesso complessivo di utenti di LinkedIn.

Secondo queste prime indiscrezioni, il database -in vendita sul dark web- offrirebbe dati inclusivi di numeri di telefono, indirizzi fisici, dati di geolocalizzazione ed anche stipendi (dedotti).

Sembrerebbe inoltre che il famigerato Hacker abbia abusato delle API (Application Programming Interface) messe a disposizione dal noto Job Seekers per il collegamento con sistemi esterni, proprio quello stesso metodo utilizzato nella precedente violazione di aprile.

Linkedin: cos’è successo?

Parrebbe che l’hacker, lo scorso 22 giugno, dopo aver carpito i dati, ne abbia pubblicato un significativo campione (1 milione di record circa) a fini “pubblicitari”, e dai primi controlli effettuati sembrerebbero confermati i timori circa l’autenticità ed aggiornamento degli stessi dati.

Da qui, la messa in vendita di informazioni anche personali, relative a circa 700 milioni di utenti LinkedIn, contenenti:

  • Indirizzi e-mail;
  • Nomi completi;
  • Generi;
  • Numeri di telefono;
  • Indirizzi fisici;
  • Dati di geolocalizzazione;
  • Nome utente LinkedIn ed URL del profilo;
  • Esperienze (personali e professionali);
  • Dati relativi ad altri account di social media;
  • Dati sui collegamenti;
  • Reddito stimato.

Il controllo incrociato dei dati del campione analizzato con altre informazioni pubblicamente disponibili sembrerebbe dimostrare la preoccupante situazione che vede dati autentici ed aggiornati, si riconducibili a soggetti “reali”.

Conclusioni e possibili ricadute

É sconcertante pensare che la violazione sia stata attuata nell’identica modalità di cui alla precedente, sfruttando debolezze delle funzioni basilari del sistema (API).

Nonostante la violazione non abbia riguardato un furto di credenziali, come osserva la stessa LinkedIn (la quale si difende sostenendo che i dati non siano stati ricavati solo dal loro sito, bensì da una miscellanea di dati ottenuta da più fonti poi messe a “fattor comune”), resta il fatto che si tratti di dati molto preziosi per i malintenzionati, utilizzabili per furti di identità e tentativi di phishing selettivi e mirati.

Se siete quindi utenti del noto Career Blog possiamo suggerirvi di prestare massima attenzione alle comunicazioni che potreste ricevere da qui ai prossimi mesi le quali, pur sembrando “ufficiali”, potrebbero invece nascondere insidie comportanti violazioni forse anche più pericolose di quella appena descritta.

Ci auguriamo, dunque, di non dover scriverci una terza puntata.

Occhio alla penna? No, ai dati!

Torna su