Un intero archivio di dati provenienti da LinkedIn è in vendita sul solito hacker forum. Si tratta di 500 milioni di profili su 600 milioni di iscritti al popolare social network di Microsoft. Il venditore, per provare di esserne in possesso, consente di scaricarne una parte, 2 milioni, divisi in quattro file distinti, a un prezzo di 2 dollari. Dati personali e informazioni lavorative insieme.
La conferma ci arriva da Pierguido Iezzi di Swascan: “Ci hanno chiesto 1500 euro per tutto il database, ma ovviamente non abbiamo nessuna intenzione di acquistarlo, è illegale”.
Il fatto segue di pochi giorni un annuncio simile relativo ai dati rubati a Facebook nel 2019 e rimbalzato sui giornali di Pasqua per l’allarme che ha procurato la rinnovata disponibilità di 533 milioni di numeri di telefono sottratti alla piattaforma di Zuckerberg.
In entrambi i casi non si tratterebbe di un databreach, cioè di una violazione delle piattaforme condotta con un cyber-attacco vero e proprio, ma di un’attività di raccolta via web di questi dati definita “web data scraping” (estrazione automatizzata di dati web).
I dati di LinkedIn sono più interessanti di quelli di Facebook dal un punto di vista del business come ha notato Nicola Bernardi di FederPrivacy. “Il timore adesso è che anche buona parte dei 21 milioni di utenti italiani sia coinvolto da questa maxi violazione, in cui le informazioni sottratte comprenderebbero gli username, i nominativi, gli indirizzi email, i numeri di telefono, il sesso, i collegamenti ad altri profili LinkedIn e a quelli di altri social media, nonché i titoli professionali e le altre informazioni relative alle proprie attività che generalmente gli utenti caricano sul proprio profilo”.
Tutto questo solleva un problema di tipo reputazionale. Secondo uno studio condotto da Kaspersky a livello globale, più della metà degli italiani (58%) diffida dei servizi online che subiscono una violazione o un data breach. La sfiducia aumenta se il servizio online fa un uso improprio dei dati. Il 65% degli italiani ha dichiarato che smetterebbe di usufruire dei servizi del provider per paura che le proprie informazioni possano essere vendute a terzi.
Considerando che i dati personali di un intervistato su venti (5%) sono stati condivisi in modo inappropriato da terzi – con conseguente diffusione di dati personali sensibili (45%) o perdita di denaro (50%) – il problema per le aziende è serio.
Alla nostra richiesta di commento LinkedIn ha risposto: “Lo scraping dei dati dei membri su LinkedIn viola i nostri termini di servizio, e lavoriamo costantemente per proteggere i nostri iscritti e i loro dati”.
Però secondo Iezzi “Non dovremmo rimanere stupiti dal volume di dati raccolti. Sono in realtà gli stessi dati accessibili da ognuno di noi manualmente quando andiamo a visitare il profilo di un conoscente, cliente, dipendente o fornitore. Quello che preoccupa è che basta una semplice query su Google per trovare numerose applicazioni mirate proprio allo scraping di LinkedIn i cui sistemi di protezione evidentemente non sono stati efficaci”.
A Gennaio avevamo scritto dell’errore di configurazione di un database da parte dell’azienda SocialArks che aveva rivelato 318 milioni di record raccolti da Facebook, Instagram e LinkedIn, 400 GB di profili pubblici e privati, relativi a 214 milioni di utenti di social media di tutto il mondo, inclusi dettagli personali di celebrità e influencer. Dati che gli utenti mantenevano privati.
SocialArks è una società cinese di social media marketing. Come ha ottenuto questi dati? Attraverso un processo di data scraping.