Utilizzando un cliché molto simile a quello adoperato nel caso di Facebook, i dati relativi a circa 500 milioni di iscritti a LinkedIn, il famoso social network professionale, sono stati rastrellati da parte di ignoti e venduti online su un “forum specializzato” a fronte di un importo a quattro cifre.
LinkedIn ha confermato l’incidente chiarendo però che esaminando i dati che sono stati pubblicati online ed effettuate una serie di verifiche interne è possibile concludere che le informazioni apparse online e diffuse senza alcuna autorizzazione provengono da un’attività di scraping generalizzata effettuata sulle pagine del social network.
Le informazioni raccolte, ripubblicate e rivendute da parte di terzi si riferirebbero infatti a dati pubblicamente visualizzabili nelle pagine di LinkedIn.
Come aveva fatto presente Facebook, anche le attività di scraping effettuate su LinkedIn violano i termini di utilizzo del servizio e sono quindi severamente vietate.
Ciò che colpisce, tuttavia, è che LinkedIn non si sia accorta della mole di dati che venivano scansionati in maniera automatizzata: basti pensare che gli iscritti al social network sono ad oggi 740 milioni e le informazioni su 500 milioni di utenti, pari a due terzi del totale, sono al momento in vendita (viene richiesto il versamento dell’importo in Bitcoin).
Le informazioni tratte da LinkedIn (l’autore dello scraping ai danni del sito ha reso pubblici 2 milioni di record come “assaggio” della base dati acquistabile) vengono commercializzate a basso costo perché non contengono informazioni personali di valore, ad esempio password e carte di credito. Si tratta comunque di nomi utente, identificativi, nominativi completi, indirizzi email, numeri di telefono, collegamenti ad altri profili LinkedIn e a quelli di altri social media, titoli professionali, informazioni lavorative inserite nei rispettivi profili dagli utenti registrati.
Rappresentano comunque un set di dati molto interessante per i malware writer e per quei criminali che sono soliti confezionare attacchi phishing “su misura” e aumentare il successo di una campagna spam.
Chi è iscritto a LinkedIn, come spiega Candid Wuest, VP of cyber protection research di Acronis, dovrebbe essere a questo punto consapevole del maggior rischio di essere presi di mira con attività di phishing mirate, spam via SMS, attacchi per il reset della password e aggressioni contro altri account.
Uno dei migliori approcci per proteggersi consiste nel difendere tutti gli account più importanti con l’autenticazione a due fattori escludendo l’utilizzo degli SMS.
Come peraltro già fatto nel caso di Facebook, il Garante per la protezione dei dati personali ricorda che ogni utilizzo dei dati provenienti dalla violazione ai danni di LinkedIn è da considerarsi un illecito che comporta conseguenze anche di carattere sanzionatorio.