In vendita sul Dark Web un archivio con i dati personali di 500 milioni di profili. Tra cui e-mail, numeri di telefono, link a profili di altri social e dettagli professionali.
A lanciare l’allarme è Cyber News a pochi giorni dalla notizia dei dati personali di oltre 500 milioni di utenti Facebook rubati nel 2019 e riapparsi online. Le credenziali degli utenti potrebbero essere utilizzate per ulteriori attacchi e truffe online.
Secondo Cyber News non è chiaro se i cybercriminali “stiano vendendo profili aggiornati o se i dati siano stati presi da una precedente violazione subita da LinkedIn o da altre aziende”.
LinkedIn denuncia lo scraping
Questa la posizione di LinkedIn: “I nostri membri si fidano di LinkedIn e dei loro dati sulla nostra piattaforma, e al contempo noi operiamo in modo da proteggere tale livello di fiducia. Abbiamo già preso in esame un presunto set di dati di LinkedIn che sono stati pubblicati per la vendita, e abbiamo stabilito che si tratta in realtà di un’aggregazione di dati provenienti da una serie di siti web e altre società. Questo set include dati dei profili dei membri visualizzabili pubblicamente, che sembra siano stati estrapolati da LinkedIn. In questo caso non si tratta di una violazione dei dati di LinkedIn, e per ciò che siamo stati in grado di esaminare possiamo dire che non sono stati inclusi dati privati degli account dei membri di LinkedIn.
Qualsiasi uso improprio dei dati dei nostri membri, come ad esempio lo scraping, viola i termini di servizio di LinkedIn. Quando qualcuno cerca di prendere i dati dei nostri iscritti e utilizzarli per scopi che sia LinkedIn che i nostri membri non hanno accettato, agiamo in modo da fermarli e ritenerli responsabili”.
2 dollari per un campione di due milioni di dati
Come spiega Cyber News, per dimostrare la legittimità delle informazioni, il venditore consentirebbe di scaricare due milioni di dati come campione, al prezzo di soli 2 dollari, mentre per l’accesso al database completo di informazioni rubate viene richiesto il pagamento di circa 1.800 dollari.
Come è accaduto per Facebook anche per LinkedIn si tratta del cosiddetto “scraping“, cioè di una estrazione di dati da un sito web per mezzo di un software e quindi non un data breach, cioè una violazione delle piattaforme condotta con un cyber-attacco.
LinkedIn, come scoprire se mio profilo è compromesso
Per gli esperti, la prima cosa da fare è cambiare le password di accesso al profilo e tutte le password degli account e-mail associati ai profili LinkedIn e diffidare dei messaggi LinkedIn e delle richieste di connessione da parte di persone sconosciute.
Cyber News ha inoltre uno strumento che si chiama personal data leak checker, in cui inserendo la propria mail si può capire se si è stati compromessi. Qui il link.
Interviene il Garante Privacy
L’Autorità italiana Garante per la Privacy ha aperto una istruttoria sul caso. L’utilizzo di questi dati, ricorda il Garante, comporta conseguenze, anche di carattere sanzionatorio.
L’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica e al proprio account.
I dati potrebbero infatti essere utilizzati per chiamate e messaggi indesiderati o addirittura truffe on line, furti di identità o il cosiddetto “SIM swapping”, una tecnica utilizzata per violare quei servizi online che usano il numero di cellulare come sistema di autenticazione.
