700 milioni di profili LinkedIn esposti nel recente

700 milioni di profili esposti nello "scraping" dei dati di LinkedIn: cosa fare ora?

I dati includono nomi completi, indirizzi e-mail, date di nascita, numeri di cellulare, ID Facebook e Twitter, titolo di lavoro ed altro
700 milioni di profili esposti nello "scraping" dei dati di LinkedIn: cosa fare ora? FASTWEB S.p.A.

I dati prelevati da circa 700 milioni di profili LinkedIn, oltre il 90% dell'intera base di utenti dichiarata da LinkedIn, vengono offerti in vendita sul mercato del crimine informatico online.

I dati includono nomi completi, indirizzi e-mail di lavoro, date di nascita, indirizzi fisici del posto di lavoro, numeri di cellulare, ID e link di Facebook e Twitter, titolo di lavoro, regione geografica e, in alcuni casi, coordinate GPS specifiche, che sembravano essere pubblicamente accessibile sulle pagine del profilo LinkedIn.

Chiunque abbia fornito tutte queste informazioni sulla propria pagina LinkedIn rischia di ricevere più spam, essere bersaglio di tentativi di phishing e forse anche essere maggiormente a rischio di furto di identità.

Più significativamente, molte delle voci contengono coordinate GPS molto specifiche che possono rivelare dove vive un utente di LinkedIn, il che potrebbe essere utile a stalker e ladri.

La soluzione, come sempre, è fornire a LinkedIn il minor numero possibile di informazioni su di te e impedire all'app di LinkedIn o a qualsiasi app di social media di accedere ai dati GPS sul telefono.

Cosa puoi fare per proteggerti

Puoi evitare di essere travolto dal prossimo scraping di dati fornendo solo la quantità minima di informazioni necessarie per mantenere un account LinkedIn, o in effetti qualsiasi account di social media.

Assicurati anche di accedere alle impostazioni del tuo telefono e di negare alle app di social media l'accesso alle tue coordinate GPS.
In Android, vai su Impostazioni > App e notifiche > Autorizzazioni app > Posizione e determina quali app dovrebbero sempre, solo a volte o non dovrebbero mai avere accesso alla tua posizione. In iOS, puoi fare lo stesso andando su Impostazioni > Privacy > Servizi di localizzazione.

Dati GPS esposti

Tuttavia, alcune voci sottratte contenevano coordinate geografiche specifiche, sicuramente molte di più di quelle fornite dagli indirizzi e-mail o dai numeri di telefono.

È possibile che quegli utenti abbiano utilizzato l'app mobile di LinkedIn e non fossero a conoscenza del fatto che l'app avrebbe potuto acquisire i loro dati GPS al momento e caricarli sui server di LinkedIn.

Le coordinate geografiche sono abbastanza facili da tradurre in posizioni sulla mappa copiando e incollando le coordinate in Google. Abbiamo provato a determinare alcune posizioni geografiche, trovandone ad esempio a New York City e in Brasile, ai lati di una strada nella Francia rurale e in varie città dell'India.

Cosa ancora più allarmante, abbiamo trovato coordinate che corrispondevano a indirizzi specifici nei sobborghi di Boston e in una piccola città del Wisconsin. È stato quindi possibile individuare le singole abitazioni tanto da poterle poi visualizzare in Google Street View con tanto di indirizzi completi.

Il problema è piuttosto serio. Significa che chiunque potrebbe arrivare fino a quelle case, bussare alle porte e chiedere dei residenti chiamandoli per nome, tutto a causa dei dati accessibili pubblicamente su LinkedIn.

Se qualcuno, il cui indirizzo di casa potrebbe essere localizzato con questi mezzi, avesse anche fornito a LinkedIn la sua data di nascita insieme al nome completo, potrebbe permettere ad un ladro di identità di utilizzare queste tre informazioni per aprire in modo fraudolento abbonamenti o affiliazioni a nome di quella persona.

Cosa abbiamo trovato nei dati sottratti

Tom's Guide ha dato un'occhiata al campione più piccolo dei dati di LinkedIn sottratti, l'unica versione del campione che non richiedeva la registrazione attraverso un sito Web poco raccomandabile.

Abbiamo scoperto che mentre tutte le 443 voci fornite nel campione contenevano i nomi completi e gli ID LinkedIn, gli URL, i nomi utente di LinkedIn, la maggior parte degli utenti non ha fornito volontariamente nient'altro oltre alla loro posizione geografica generale, ovvero un paese, una città o uno stato.

A quanto pare, la maggior parte degli utenti è stata saggia abbastanza da non fornire a LinkedIn altro che il minimo delle informazioni personali indispensabili per mantenere un account. Solo il 7,5% circa degli utenti nel campione di dati includeva un indirizzo e-mail di lavoro.

Gli indirizzi e-mail personali non sono stati richiesti. Pochissime persone hanno fornito numeri di cellulare e siamo riusciti a trovarne solo uno nelle prime 100 voci.

È la seconda volta quest'anno

Questo incidente arriva solo pochi mesi dopo un altro incidente che ha visto la pubblicazione di dati raccolti da 500 milioni di profili utente di LinkedIn.

"Non possiamo essere sicuri del fatto che i set di informazioni siano o meno un accumulo di dati di precedenti violazioni e profili pubblici, o se le informazioni provengano da account privati", ha affermato Privacy Sharks, un sito Web che ha analizzato un campione dei nuovi dati.
"Considerando che ci sono 200 milioni di nuovi set disponibili, è probabile che siano stati sottratti nuovi dati".

La persona che vende i dati si chiama TomLiner e ha pubblicato un avviso di vendita sul sito Web Raid Forums, aperto al pubblico, il 22 giugno. Offre campioni di varie dimensioni, che vanno da 1 milione di profili a solo poche centinaia.

Un altro sito Web che ha analizzato i campioni, Restore Privacy, ha affermato che TomLiner ha affermato che i dati sono stati sottratti utilizzando l'API di LinkedIn, ovvero l'interfaccia del programma applicativo, uno strumento che consente ai computer di interfacciarsi rapidamente con il server di una piattaforma Web.

Il sito web di LinkedIn dichiara di avere 756 milioni di utenti. Se i dati rubati ammontano davvero a 700 milioni di utenti, si tratta di circa il 92,5% dell'intero set di utenti di LinkedIn. Se hai un account LinkedIn è quindi molto probabile che i tuoi dati ne facciano parte.

Violazione dei dati o meno, le informazioni sono comunque esposte

In altre parole, tecnicamente non si tratta di una violazione dei dati e non è stato coinvolto alcun hacking, proprio come è successo con i 500 milioni di profili LinkedIn sottratti pochi mesi fa.

Allora, come adesso, LinkedIn si è auto-assolto da ogni responsabilità in una dichiarazione a Privacy Sharks: "Non si trattava di una violazione dei dati di LinkedIn e la nostra indagine ha stabilito che nessun dato privato dei membri di LinkedIn è stato esposto".

Inoltre, non è così grave come la violazione dei dati di LinkedIn del 2012 che ha rivelato le informazioni private di circa 117 milioni di utenti di LinkedIn, inclusi i loro indirizzi e-mail personali e le loro password scarsamente crittografate. Anche il fondatore di Facebook Mark Zuckerberg è stato colpito in quell'occasione, rendendo così pubblici il suo indirizzo e-mail e la sua password.

Tuttavia, questo sarà un ben piccolo conforto per le persone che si sono affidate a LinkedIn per proteggere i propri dati.

Come ha affermato l'esperta di privacy Melanie Ensign in un recente articolo di opinione per Tom's Guide, "si possono fare molti danni con le informazioni che le aziende obbligano gli utenti a condividere nei profili pubblici".
"Sia che i dati siano stati rubati, trapelati o cancellati, il risultato per i consumatori è lo stesso", ha aggiunto Ensign. "La loro privacy è stata violata da un'azienda di cui pensavano di potersi fidare".

Fonte: tomsguide.com
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail