LinkedIn nella bufera: sottratti i dati di 500 milioni di profili, indagini anche in Italia

09 Aprile 2021 71

Un nuovo rilevante episodio di diffusione non autorizzata di dati personali ha interessato un importante social network: dopo il caso che ha riguardato Facebook, tocca a LiinkedIn affrontare una vicenda simile. L'allarme è stato lanciato da CyberNews che ha evidenziato come siano stati messi in vendita nel dark web circa 500 milioni di profili LinkedIn: 2 dollari per ottenere un campione con circa 2 milioni di dati, 1.800 dollari per il database completo.

La fonte ha avuto modo di esaminare una piccola porzione del database, appurando che conteneva informazioni come l'ID di LinkedIn, il nome completo, l'indirizzo e-mail, il numero di telefono, il collegamento ad altri profili LinkedIn e a quelli di altri social network. I gestori del social dal canto loro affermano che le informazioni diffuse non provengono solo dai profili LinkedIn, ma sono un'aggregazione di dati provenienti da più parti:

Abbiamo indagato su un presunta serie di dati di LinkedIn che sono stati messi in vendita e abbiamo stabilito che si tratta in realtà di un'aggregazione di dati provenienti da una serie di siti web e aziende

LinkedIn parla di dati tratti (anche) dai profili pubblici dei suoi utenti - in altri termini non ci sarebbe stata una violazione dei sistemi informatici, ma un'attività di cattura dei dati utilizzando la tecnica dello scraping (estrazione dei dati da un sito web mediante appositi software).

GARANTE PRIVACY ITALIANO AVVIA ISTRUTTORIA

Le indagini però sono in corso e il caso ha attirato l'attenzione anche del Garante Privacy italiano che ha avviato un'istruttoria. L'Autorità mette contestualmente in guardia gli utenti italiani a fare molta attenzione ad eventuali usi impropri dell'utenza telefonica e dell'account:

Anche tenuto conto del fatto che l’Italia è uno dei Paesi europei con il numero maggiore di iscritti alla piattaforma, l’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account.

Gli utenti che dovessero risultare coinvolti nella sottrazione non autorizzata di dati vanno incontro agli immancabili rischi di:

  • ricevere chiamate e messaggi indesiderati sul numero telefonico
  • ricevere spam sulla casella di posta elettronica
  • essere oggetto di truffe online, furti di identità e SIM swapping
COSA FARE

CyberNews ha messo a disposizione uno strumento per verificare se il proprio profilo LinkedIn è stato coinvolto: si può raggiungere collegandosi a questo indirizzo, basta inserire l'indirizzo e-mail associato al profilo. In attesa di ulteriori riscontri è sempre consigliato cambiare la password di accesso al profilo LinkedIn e di tutti gli account associati al medesimo. Vale infine la regola di diffidare da richieste di messaggi LinkedIn e di connessione provenienti da persone sconosciute.

Il migliori Smartphone Apple? Apple iPhone 12, in offerta oggi da Bpm power a 698 euro oppure da ePrice a 766 euro.

71

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
csharpino

Ma semplicità de che???? Non c'è nessuna maggiore semplicità ne nell'identificare attività anomale ne nel bloccare tali attività, hai solo detto una defecata. Se vuoi bloccare gli scraper ci sono decine di metodi in base a quanto vuoi permettere o no anche la fruizione dei tuoi dati a motori di ricerca o servizi terzi legittimi ma il login obbligatorio non è uno di questi semplicemente perchè totalmente inutile. L'unico modo ma neanche questo risolutivo sarebbe si obbligare al login ma avere una procedura di creazione utenti molto forte con richieste di dati e relativi controlli su numero di telefoni o documenti, tutte cose che però vanno contro all'usabilità del servizio e che decimerebbero gli utilizzatori e come detto parzialmente inutili anche queste perchè si potrebbero comunque sfruttare account di utenti reali con credenziali compromesse.

LoneWolf®

Allora basta, pensavo che telefono ed email fossero stati presi perché visibili al di fuori di Linkedin (che non ho, per questo mi sembrava strano).

Ikaro
LoneWolf®

Dai c4zzo sto parlando di semplicità delle cose, ovvio che un indirizzo IP è visibile da ogni richiesta fatta al server.
Rendere il sito accessibile solo agli iscritti e bloccare gli IP dei profili con attività anomale è una soluzione (con i suoi pro e contro) tra le altre adottabili, invece che lasciare tutto alla mercè del primo scraper che capita.

csharpino

Ecco bravo, ora tornaci all'università della strada...

csharpino

E'??? Cioè veramente tu pensi che il tuo ip arrivi al sito di turno solo se su quel sito sei loggato??

csharpino

Te lo ripeto perchè probabilmente i 2 neuroni che hai non si sono incontrati : Non sto dicendo che c'è un complotto per favorire le multinazionali, sto dicendo che la legge non permette di condannare le fughe di dati dovute a falle software dei sistemi (a meno che non si lasci la falla aperta anche dopo esserne stati informati). E quindi te lo ripeto questo è un dato di fatto e non bisogna essere Nostradamus per capirlo, è scritto nero su bianco.

RiccardoC

nell'articolo parla di dati già presenti su altri siti (perché presi in passato dai profili pubblici di linkedin) e roba che è (solo) sui profili pubblici (ovvero non ancora finita ANCHE su altri siti). O almeno così dicono, poi la certezza vai ad averla; io in ogni caso su linked in metto solo dati di lavoro

andrew

In realtà un social network dovrebbe essere basato sui contenuti e sull'interazione tra utenti, e non sui dati personali. Email e numero di telefono potrebbero essere tranquillamente non richiesti neanche. In altri casi anche il nome anagrafico potrebbe non è necessario. (linkedin, essendo un social network professionale ci sta pure la presenza del nome...)

Masquared

la differenza è che cosa possono fare con i dati dei ladri (di dati) invece delle persone che lavorano

Guest

il dato di fatto si riferisce al passato.
La legge c'è e tu non sei Nostradamus, quindi non sai se non verrà applicata.
A meno che tu non creda appunto ai complotti che favoriscono le multinazionali.

DeeoK

Nell'articolo dice che sono "anche" profili pubblici. Chiaro che se fossero solo profili pubblici sarebbe una non-notizia.

Boronius

Azzz hanno scoperto la mia segretissima password '123'

RiccardoC

cosa che appunto puoi fare, se lo metti nel profilo pubblico è pubblico; hanno parlato appunto di dati tutti presenti nei profili pubblici

LoneWolf®

Certo, ma da utente loggato dovrebbe essere più facile poter risalire all'indirizzo IP per poter condurre ulteriori indagini.

Ikaro

Ngue mammaaaa... all'università della strada mi avevano detto che era così ahah ma non ti senti un pò ridicolo :D buona giornata

csharpino

Non perdo altro tempo con uno che non capisce una sega come te...

csharpino

E perchè secondo te se faccio scraping senza essere loggato non lascio traccie per identificare un'attività anomala???

Ikaro

per ora si parla di "semplice" scraping, ovviamente se hanno avuto accesso a dati che l'utente non voleva rendere pubblici è un bel problema, ma è anche tutto un'altro tipo di attacco informatico :)

LoneWolf®
Ikaro

Non ne sappiamo molto ancora però se un bot non collegato alla tua rete ne ha avuto accesso erano in chiaro per tutti

DeeoK

Dipende: mail e telefono non è detto che siano pubbliche e magari vuoi farli avere solo alla tua rete.

trodert

E da quando i numeri di telefono della gente sono dati pubblici? Se gli hacker hanno tirato fuori i numeri di telefono che non erano visibili in chiaro sul profilo allora c'è eccome la violazione di sicurezza

Dyatlov

papere@gmail è stato leakato e la mia mail vera no... Ok

Alexv

Sarà più facile trovare lavoro.

Ikaro

Sicuro?
https://www.linkedin.com/pulse/20140320151331-142790335-11-seo-tips-for-your-personal-linkedin-profile leggiti il primo paragrafo... Forse e dico forse ha questa visibilità anche perché a livello di SEO ha migliaia di parole chiave da dare in pasto agli spider ;)

RiccardoC

è sano e salvo se non lo avevi messo su facebook :-D

LoneWolf®

Si perderebbe visibilità sui motori di ricerca, ma l'incontro tra domanda e offerta di lavoro dovrebbe avvenire sempre sul portale in questo caso. Non credo che datori di lavoro o le agenzie interinali cerchino su Google i propri canditati, spesso si basano su servizi ad hoc o appunto social come Linkedin.

Per tutto il resto, si rimanda al buon senso dell'utente nel non rendere pubblici determinati dati. A parte il numero di telefono, io non metto in chiaro nemmeno l'email sui servizi che uso.

LoneWolf®

Ho scritto limitare, nel senso che si eviterebbe di far fare scraping a cani e porci. Da un account (seppure fake) registrato perlomeno dovrebbero riuscire a vedere un'attività anomala.

Ikaro

LOL, ok :D

ps: solo per vedere quante caxxate spari che c'entrano gli attacchi DDOS :D

RiccardoC

certo che un po' di verifica la potevate fare... dove sta la notizia? Se io metto qualcosa nel mio profilo pubblico di Linkedin è perché VOGLIO che sia diffusa ai 4 venti... mi stanno facendo un favore insomma. Poi certo che se uno ci mette le foto dei figli, il numero personale ed altre info personali, allora se la è cercata

csharpino

Da te vorrei solo che sparissi...
Un ip non è volatile al massimo è mutabile.... e il fatto che la botnet sia composta da computer reali non cambia nulla, se volutamente o non volutamente perchè infetto da un virus il tuo computer viene usato per queste attività è giusto che venga bannato.
La protezione da tutti gli attacchi DDOS si basa su queste tecniche, se non fosse possibile bloccare l'accesso ai tuoi server a determinati ip o anche ad interi ISP se questi non collaborano nel bloccare questi fenomeni internet non esisterebbe....

Ikaro

Ho risposto sotto a csharino se vuoi unirti alla conversazione e dirci come avresti protetto quei dati in questa situazione sono tutto occhi ;)

Giangiacomo

Purtroppo questa è una classica risposta di chi non conosce l'informatica. I dati, anche se in chiaro van comunque protetti dallo scrapping (che ricordo, non viene di certo fatto a mano ma tramite software ben specifico) e altre forme. Un conto è che uno vada a vedersi l'email (in chiaro) di un certo utente, un'altra cosa è che venga preso l'intero database di un social network. Tra l'altro sembra che siano state presi anche email e/o numeri di telefono di utenti che non li han resi pubblici. Dunque direi che non è una cosa così di poco conto. Bisognerà vedere in seguito.

Ikaro
Ikaro
csharpino

Certo, come no, si vede dalle m1nch1ate che scrivi!!

csharpino

Sarà tecnicamente impossibile forse per te... i comportamenti di un bot sono facilmente identificabili e se inizi a bannare ip ogni volta che ne becchi uno ti assicuro che la vita gliela rendi molto difficile. Poi certo posso sempre fare un bot che simula il comportamento di un umano stando su ogni pagina 1 minuto, scrollando, cambiando ip ogni tot visualizzazione ecc ecc ma a quel punto prima di riuscire a tirare giù tutti quei dati ci vogliono anni.

JustATiredMan

E non è nemmeno la prima volta per Linkedin... Stò social è une vero e proprio buco per questo riguarda la sicurezza degli account.

Jonathan

La piattaforma poteva farci poco, se non rilevare che stavano venendo visualizzati così tante pagine in poco tempo

Ikaro

Ti ho risposto sotto, qua quello che non capisce mi sa che se te ;)

Daniel

I tecnici di Linkedin hanno confermato che non è stato sottratto alcun dato non pubblico. Rumore per nulla.

csharpino

Se non arrivi a capire la differenza tra accesso con modalità lecite alle informazione e fare scraping e non è colpa mia...

csharpino

Non non è un complotto è semplicemente un dato di fatto.. Se un'azienda si attiene a quanto scritto nel GDPR, fa le dovute comunicazioni per tempo ecc non commette nessuna violazione, ma se ti fai fottere tutti quei dati non basta fare la comunicazione entro le tot ore e chiudere la falla per risolvere il problema...

Ikaro

Dalla risposta della azienda pare che i dati provengano da un aggregatore di terze parti... detto questo che ne sappiamo che sicurezza hanno, anche se attui delle misure antibot, questi attacchi li fai con botnet incredibili, ti beccano, torni con altro ip, è tecnicamente impossibile evitare una cosa del genere...

Guest

GOMBLOTTO!

Guest

quindi di che si lamentano gli utenti?

Li hanno pubblicati, sono pubblici.

csharpino

Violazione che stranamente ad oggi non è mai stata contestata a nessuno (dei grandi intendo).

WauMau

Poca roba rispetto agli annunci fantonccio fatti da agenzie di maeketing per avere le tue coordinate e bombardarti..state attenti a cosa mandante sempre

Guest

E si in effetti per linkedin è difficile limitare il numero di profili visionabili in un lasso di tempo o porre una delle mille altre limitazioni che esistono in qualsiasi servizio

Recensione Huawei Band 6: eleganza in formato slim

Snapdragon 888 vs Exynos 2100: qual è il migliore?

Echo 4° generazione vs Nest Audio: quale scegliere? Tutte le differenze

Il confrontone 2021: Galaxy S21 Ultra vs iPhone 12 Pro Max, Find X3 Pro e Mi 11 5G