Problemi per la privacy su LinkedIn, violati 500 milioni di account

Viene confermata oggi la cattiva sorpresa dei problemi di privacy anche su LinkedIn, i cui database sono stati violati, con conseguente diffusione dei dati di oltre 500 milioni di utenti.

Questo evento segue a distanza di pochissimi giorni quello che è stato registrato anche per Facebook, piattaforma su cui il numero di account trafugati arriva addirittura a 537 milioni, di cui, come già raccontato nei giorni scorsi, 37 milioni nel nostro paese.

LinkedIn è l’ultima vittima di una massiccia violazione e i dati di oltre 500 milioni dei suoi utenti sono stati prelevati dalla piattaforma e messi in vendita online.

Cosa è stato rubato violando la privacy di LinkedIn?

Il set di dati include informazioni sensibili come indirizzi e-mail, numeri di telefono, informazioni sul posto di lavoro, nomi completi, ID degli account, link ai loro account sui social media e dettagli sul sesso.

I dati violati sarebbero stati venduti da un utente sconosciuto su un forum di hacker, che ha scaricato i dati di oltre due milioni di utenti come prova.

L’hacker sta chiedendo un importo a quattro cifre (in USD) in cambio dei dati violati, potenzialmente sotto forma di Bitcoin.

LinkedIn ha oltre 740 milioni di utenti, la società lo menziona sul suo sito web, il che significa che i dati di oltre due terzi dei suoi iscritti sono stati compromessi e venduti online. 

Bisogna pensare che alle spalle della piattaforma c’è Microsoft e quindi i problemi di privacy su LinkedIn possono far supporre che in generale anche i sistemi di Microsoft possano essere attaccabili con una certa facilità.

Perché i soldi chiesti sono così pochi?

Dato che i dati trapelati non contengono dettagli di carte di pagamento e password, hanno meno valore e non saranno comunque venduti per molto sul dark web.

Tuttavia, contengono informazioni personali di valore (informazioni sul posto di lavoro, email, link ad account sociali), ed è per questo che non sono stati resi pubblici gratuitamente.

Non è raro vedere tali set di dati utilizzati per inviare email di phishing personalizzate, estorcere riscatti o guadagnare denaro sul dark web – soprattutto ora che molti hacker prendono di mira chi cerca lavoro su LinkedIn con offerte di lavoro fasulle, infettando con un trojan backdoor.

Candid Wuest, VP of cyber protection research di Acronis, azienda leader nella Cyber Protection.

Ad esempio, tali attacchi di phishing personalizzati con esche LinkedIn sono stati utilizzati dal gruppo Golden Chicken la scorsa settimana”, prosegue Wuest.

Perché la sicurezza non ha funzionato

Sfortunatamente, ci siamo già abituati alle numerose segnalazioni di violazioni di dati e non siamo più sorpresi.

C’è appena stata una fuga di dati di 500 milioni di record di Facebook all’inizio di questa settimana – con Facebook che afferma che questo set di dati è stato generato da un bot che abusa di una vulnerabilità che è stata risolta nel 2019.

Deve ancora essere confermato se i dati sono stati raccolti da un nuovo bot di scraping, se l’hacker ha abusato di una vulnerabilità sul backend o se contiene dati da precedenti violazioni di LinkedIn.

Cosa fare per proteggersi?

C’è ora un maggior rischio di phishing su LinkedIn, spam via SMS, così come attacchi di reset della password e attacchi contro altri servizi che utilizzano SMS per MFA sono ora più probabili.

Gli utenti dovrebbero quindi fare attenzione ai messaggi sospetti di LinkedIn e passare dal servizio MFA basato su SMS, dove possibile, per gli account critici” conclude Candid Wuest.

I problemi per la privacy su LinkedIn ci danno ancora una volta la conferma che affidarsi agli strumenti di terzi per proteggere le nostre informazioni non è sufficiente.

Come proteggere la privacy su Linkedin e le altre piattaforme?

I comportamenti dei singoli sono importantissimi per evitare violazioni come quella di cui parliamo oggi, tenendo conto del fatto che contro il phishing e altri strumenti messi in pista di recente dei Cyber criminali l’unico antidoto efficiente è l’attenzione di chi riceve i messaggi.

E il comportamento adatto a questo tipo di rischio è uno solo: non cliccate su alcune mail che arriva nella vostra casella di posta elettronica, se prima non avete guardato che tipo di link c’è collegato.

Controllate attentamente anche il mittente, non è quello che appare scritto a prima vista, ma quello che si può leggere nei dettagli del messaggio di posta. Una S in più, un trattino nel dominio, sono molti i dettagli che vengono utilizzati per trarre in inganno.basta solo un po’ di attenzione.