Se hai Linkedin probabilmente i tuoi dati sono in vendita online: colpito il 92% degli utenti
A poche settimane dalla notizia di un colossale archivio di informazioni provenienti da 500 milioni di utenti Linkedin messo in vendita online, il social network dedicato ai professionisti è finito ancora sotto i riflettori per una ancora più grave. Secondo quanto riportato da Privacy Sharks, è stata infatti messa a disposizione un'altra banca dati contenente informazioni sensibili di 700 milioni di persone iscritte al sito, ovvero circa il 92 percento del totale. Anche quest'ultimo faldone è stato messo in vendita su un forum online.
I dati in vendita
L'archivio contiene nomi e cognomi, email, numeri di telefono e indirizzi degli utenti, insieme a informazioni ancora più preziose come i curriculum e potenziali stipendi. Si tratta in sostanza di un archivio attraverso il quale potenziali truffatori possono lanciare comodamente campagne di phishing e altri raggiri ad ampio spettro. Le informazioni non sono state pubblicate nella loro totalità; gli hacker che le hanno ottenute le hanno però messe in vendita, lasciando a disposizione i dati di un milione di persone per provare l'autenticità di quanto offerto ai migliori offerenti.
La reazione di Linkedin
La vicenda è già stata commentata dai responsabili del social, che hanno però negato di aver subito una violazione informatica. Linkedin sostiene che i dati non sono stati ottenuti con tecniche di intrusione, ma che si tratti di informazioni che gli utenti hanno sostanzialmente reso pubbliche da soli, accumulate poi con tecniche automatizzate alle quali ci si riferisce con il termine inglese scraping. Il social ha poi specificato che dalla sua piattaforma non è uscita alcuna informazione privata degli utenti.
Violazione o no
Da questo punto di vista i gestori della piattaforma hanno tecnicamente ragione: quelli estratti a tonnellate sono tutti dati che gli utenti hanno deciso di inserire nei loro profili e di mantenere pubblici. Gli hacker hanno rastrellato questi dati scrivendo algoritmi che si collegano automaticamente ai server di Linkedin per visitare milioni di pagine a ripetizione e usare il loro contenuto per compilare la banca dati poi messa online. Il problema è che le vittime dell'attacco hanno deciso di tenere pubbliche le loro informazioni per motivazioni precise che derivano dalla natura stessa di Linkedin – un social i cui utenti desiderano essere trovati da potenziali datori di lavoro ancora sconosciuti.
Terminologia a parte dunque – e a maggior ragione perfino rispetto a quanto avviene su siti come Facebook – il social dovrebbe impedire tecniche di accumulo simili, o quantomeno avvertire gli utenti che esporsi sulle pagine della piattaforma per essere trovati da reclutatori e contatti mette a repentaglio la loro privacy. Per il momento non è possibile sapere con certezza se il proprio profilo è tra quelli messi in vendita, poiché il contenuto della banca dati non è stato ancora incluso all'interno del servizio Haveibeenpwnd che permette di fare questa verifica; considerata la percentuale di utenti coinvolti però, è ragionevole supporre il peggio.
