Objevila se další obří databáze uživatelských údajů, tentokrát se týká uživatelů LinkedInu
Zpět na blogNa populárním hackerském fóru prodával jeden z uživatelů databázi obsahující údaje o 500 milionech profilů z LinkedInu.
Není to přitom tak dávno, co se volně na internetu objevily osobní informace týkající se 533 milionů facebookových účtů. Podle informací ze CyberNews nová databáze obsahuje informace o uživatelích profesní sociální sítě LinkedIn, která patří Microsoftu. Na údajném vzorku dvou milionů údajů byla viditelná celá jména členů LinkedIn, e-mailové adresy, telefonní čísla, pohlaví a další. Uživatelé na fóru si mohli prohlédnout uniklé vzorky za speciální kredity, kterými se fóru platí, v hodnotě asi dvou dolarů. Prodejce vydražil tuto databázi za nejméně čtyřmístnou sumu.
LinkedIn však tvrdí, že data obsahují informace z více zdrojů a nebyla všechna získána prostřednictvím „scrapingu“ z LinkedInu.
„Prověřili jsme údajný soubor údajů z LinkedInu, který byl zveřejněn k prodeji, a zjistili jsme, že se ve skutečnosti jedná o agregaci údajů z řady internetových stránek a společností,“ stojí v prohlášení LinkedInu.
Společnost také tvrdí, že „v databázi nebyly zahrnuty žádné údaje ze soukromých částí účtů na LinkedInu“ – což možná znamená, že získaná data obsahují pouze informace, které jsou dostupné veřejně. LinkedIn trvá na tom, že se „nejednalo o narušení dat“, což by technicky vzato platilo i v případě, pokud by byla data získána pomocí „scrapingu“ a nikoli prostřednictvím neoprávněného přístupu do systémů LinkedInu. Nicméně pro uživatele, jejichž data se nyní prodávají na internetu, to není moc uklidňující.
LinkedIn se ještě nevyjádřil, zda upozorní uživatele, jejichž data byla v prodávané databázi. Nutno poznamenat, že ani Facebook nemá v plánu informovat uživatele, pokud patří k těm, jejichž data figurují v nedávno uveřejněné databázi. Agentura Bloomberg uvedla, že italský úřad pro ochranu soukromí zahájil vyšetřování LinkedInu.
Michael Isbitski ze společnosti Salt Security uvedl: „Útočníci používají k extrakci dat stejné API, které pohání webové a mobilní aplikace. Také využívají automatizaci, aby data získali ve velkém měřítku a agregovali je, takže se hodí pro další útočné techniky, jako jsou brute-force útoky, krádeže identit, phishing, sociální inženýrství a spamování. S touto konkrétní datovou sadou útočník nemá k dispozici explicitní autentizační materiály, jako jsou přihlašovací jména a hesla, ale může být schopen provést kvalifikovaný odhad na základě různých PII. E-mailové adresy jsou často používány jako uživatelská jména v platformách sociálních médií, takže útočník už má jeden díl skládanky pro ověřovací mechanismy.“
Údaje uživatelů sociálních médií nejsou jen „nová ropa“ pro jejich provozovatele, ale také „zlato“ pro kybernetické zločince. Uživatelé LinkedInu, jejichž údaje figurují v databázi, by měli věnovat zvýšenou pozornost podezřelým aktivitám týkajících se jejich online účtů.
Zdroj: Cybernews
16. 4. 2021