Sul Dark Web è in vendita un archivio contenente i dati di 500 milioni di profili LinkedIn (su quasi 740 milioni di utenti iscritti al social network professionale per eccellenza), tra cui indirizzi e-mail, numeri di telefono, link ad altri profili di social media e dettagli professionali.
Informazioni riservate e personali che ora potrebbero essere utilizzate per lanciare ulteriori attacchi e truffe online.
Considerato il numero così elevato di profili coinvolti nel data leak, è facile supporre che anche i 21 milioni di utenti italiani iscritti a LinkedIn siano ora esposti ad ogni tipo di attività criminale.
A riprova della veridicità dei dati rubati, il venditore “offre” la possibilità di scaricare 2 milioni di profili a soli 2 dollari, mentre per l’accesso al database completo di informazioni di account rubati viene richiesto il pagamento di circa 1.800 dollari.
Indice degli argomenti
Cosa sappiamo del data leak a LinkedIn
Questo nuovo data leak, scoperto dai ricercatori di Cyber News, segue di pochi giorni il massiccio furto di dati personali degli utenti Facebook: e come nel caso di Facebook, è l’analisi di Paolo Dal Checco, consulente informatico forense , “anche per LinkedIn si tratta del cosiddetto scraping, cioè di una raccolta di dati ottenuta richiedendo informazioni direttamente al portale su cui tali dati sono contenuti. Tale raccolta può avvenire tramite API (un codice di comunicazione tipicamente usato da componenti di software per parlare tra loro, ricerche (come quelle fatte direttamente dagli utenti) o persino mediante l’utilizzo d’indirizzi specifici all’interno dei siti che restituiscono i dati d’interesse”.
“Nello specifico di LinkedIn”, continua Dal Checco, “ciò che è fuoriuscito sono i dati pubblicati dagli utenti stessi e condivisi con i propri contatti: e-mail, telefono, indirizzi di altri profili social network e così via. Non si tratta quindi di “segreti” violati e diffusi ma comunque di informazioni destinate a una visione in genere soltanto da parte dei propri contatti o, talvolta, aperte. a tutti ma inserite dagli utenti non con la finalità di raccolta da parte di terzi”.
In particolare, secondo Pierluigi Paganini, CEO CYBHORUS, “mentre nel caso Facebook i dati sarebbero stati acceduti sfruttando una falla nella piattaforma, poi risolta nel 2019, nel caso di LinkedIn le informazioni sono tutte di dominio pubblico e sono state collezionate attraverso tool automatici che consentono di visitare i profili e collezionarne le informazioni di interesse”.
Secondo Paganini, “la pratica di collezionare informazioni pubbliche in maniera automatica da siti e piattaforme è molto diffusa e prende il nome di “web scraping.” Sebbene l’attività stessa non sia illegale, le principali piattaforme vietano questa espressamente questa attività attraverso i termini di servizio che sottopongono ai loro utenti. Le piattaforme dispongono di sistemi per individuare le operazioni di web scraping, tuttavia in taluni casi un attaccante con risorse opportune potrebbe essere in grado di eludere tali controlli”.
I ricercatori di Cyber News sono comunque stati in grado di confermare che i dati contenuti nel campione erano legittimi, ma hanno aggiunto che “non è chiaro se l’attore della minaccia stia vendendo profili LinkedIn aggiornati, o se i dati siano stati presi o aggregati da una precedente violazione subita da LinkedIn o da altre aziende”.
Tra i dati trapelati, però, non sembrano esserci numeri di carte di credito o altri dettagli finanziari che potrebbero essere utilizzati per mettere a segno frodi online.
Ciononostante, i cyber criminali possono combinare le informazioni dei profili LinkedIn rubati con quelli trapelati in seguito ad altre violazioni di dati e creare profili dettagliati delle loro potenziali vittime. In particolare, con queste informazioni in mano, gli attaccanti possono condurre attacchi mirati di phishing e di social engineering o addirittura commettere furti di identità contro lAscolta “Reclutare tramite Linkedin: il caso di Ferring” su Spreaker.e persone le cui informazioni sono ora pubbliche sul Dark Web.
Precauzioni per difendere il proprio profilo LinkedIn
In attesa di conoscere maggiori dettagli sulla veridicità del data leak, è importante adottare alcune precauzioni per mettere in sicurezza il proprio account LinkedIn:
- la prima cosa da fare è cambiare le password di accesso al profilo e tutte le password degli account e-mail associati ai profili LinkedIn;
- l’aggiornamento delle credenziali di accesso a LinkedIn è l’occasione per creare una password forte, casuale e unica; per evitare di dimenticarla, è quindi utile memorizzarla in un password manager in grado di compilare automaticamente i form di login ai vari servizi online;
- è importante, inoltre, abilitare l’autenticazione a due fattori (2FA) sugli account LinkedIn e su qualsiasi altro account che consente di attivare questo utile sistema di sicurezza.
Vista la tipologia di dati rubati, è quindi importante seguire queste semplici precauzioni per mettersi al riparo da possibili truffe online:
- diffidare dei messaggi LinkedIn e delle richieste di connessione da parte di persone sconosciute;
- imparare a identificare le e-mail e i messaggi di testo di phishing;
- non aprire mai i link a siti web da un’e-mail, e invece navigare manualmente su un sito e fare lì il login;
- installare un efficiente software antiphishing e antimalware.
L’intervento del Garante privacy italiano
In seguito alla violazione, il Garante privacy italiano ha aperto un’istruttoria nei confronti di Linkedin. Allo stesso tempo, è stato adottato un provvedimento per avvertire chiunque sia entrato in possesso dei dati personali illegalmente sottratti che il loro utilizzo “è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati – , ricorda il Garante in una nota ufficiale -, comporta conseguenze, anche di carattere sanzionatorio“.
Il Garante ha anche invitato gli utenti italiani a fare attenzione nelle prossime settimane a eventuali anomalie sul proprio telefono o nel proprio account. L’autorità avvisa infatti che potrebbero verificarsi tentativi di chiamate e messaggi indesiderati, truffe online, furto di identità o SIM swapping.
Articolo aggiornato il 9 aprile 2021 con il comunicato del Garante privacy
