Technológia

A LinkedIn tagadja, hogy 700 millió felhasználói nyilvántartás adatmegsértés lenne

A LinkedIn határozottan tagadta a adatok expozíciója munkahelyi hálózati platformjának – a teljes felhasználói bázis több mint 90% -át – 700 millió felhasználójához kapcsolódóan, amelyet a sötét interneten kínálnak eladásra, adatvédelmi jogsértés, és ragaszkodik ahhoz, hogy mivel az adatokat rosszindulatú szereplők kaparták el, nincs hiba.

A PrivacySharks szerint, amely elsőként jelentette be az esetet június 27-én, a RaidForums egyik felhasználója először kijelentette, hogy június 22-én birtokában van az adatlerakónak, és egy millió rekordból álló mintát nyújtott be bizonyítékként.

A szervezet kutatói megerősítették, hogy az érintett adatok tartalmazzák a teljes nevet, nemet, e-mail címet, telefonszámot és a foglalkoztatási információkat. Úgy tűnik, hogy a teljes dump nem tartalmaz semmilyen pénzügyi vagy jelszó nyilvántartást, bár a felhasználóknak azt javasoljuk, hogy elővigyázatosságból haladéktalanul változtassák meg bejelentkezési adataikat, és természetesen figyelniük kell a hitelkártyájuk gyanús tevékenységére.

A LinkedIn közleményében elmondta: „Csapataink megvizsgálták a LinkedIn állítólagos állítólagos adatait, amelyeket eladásra tettek közzé. Szeretnénk tisztázni, hogy ez nem adatmegsértés, és a LinkedIn privát tagadatait nem tárták fel. Első vizsgálatunk során kiderült, hogy ezeket az adatokat a LinkedIn-ből és más különféle webhelyekről kapták ki, és ugyanazokat az adatokat tartalmazza ez év elején a 2021. április kaparós frissítés.

„A tagok megbíznak a LinkedIn-ben az adataikkal, és tagjaink adataival való bármilyen visszaélés, például a kaparás megsérti a LinkedIn szolgáltatási feltételeit. Amikor bárki megpróbálja megszerezni a tagok adatait és felhasználni azokat a LinkedIn céljaira, és tagjaink nem egyeztek bele, mi azon dolgozunk, hogy megakadályozzuk őket és felelősségre vonjuk őket.

Bár a LinkedIn értékelése, miszerint az adatkészlet a korábbi szivárgásokból származó adatok és a nyilvánosság előtt álló profilokból lekapart információk kombinációja, és hogy rendszereit önmagukban sem sértették, valószínûleg helytálló, ez nem teszi lehetõvé azt a tényt, hogy ártalmas szereplők számára történő értékesítés kevésbé problémás.

Pénzügyi nyilvántartások nélkül is, az adathalmazban szereplő személyes adatrekordok könnyen felhasználhatók személyazonosság-lopási csalások során, vagy célzott társadalmi mérnöki és adathalász támadások végrehajtására, amelyek komolyabb biztonsági események, például ransomware támadások elődjét jelenthetik. Az adatok az online hirdetők és marketingszervezetek kezébe is kerülhetnek, ami kevésbé szorgalmas lehet a kezelésük során.

Tim Mackey, a Synopsys A CyRC (Kiberbiztonsági Kutatóközpont) elmondta, hogy annak ellenére, hogy a LinkedIn technikailag helytálló az értékelésében, felhasználói számára nem volt különbség a vállalat szervereit ért támadás és az alkalmazás-kezelő felület (API) visszaélése között az adatok megszerzése érdekében. “Az adatvesztés adatvesztés, és a támadók megtalálják a működésük finanszírozásához szükséges adatok megszerzésének legegyszerűbb módját” – mondta.

“Az adatvesztés adatvesztés, és a támadók megtalálják a legegyszerűbb módszert a működésük finanszírozásához szükséges adatok megszerzésére”

Tim Mackey, a Synopsys CyRC

Valójában, tette hozzá Mackey, az ilyen kaparási támadások valószínűleg a jövőben egyre gyakoribbá válnak. “Amint az infrastruktúra elleni sikeres támadások végrehajtása egyre nehezebbé válik, a támadók természetesen a törvényes hozzáférési módszerekkel való visszaélésre helyezik a hangsúlyt, mint például a vállalkozások által az adatokhoz való hozzáférés érdekében biztosított API-k” – mondta.

„Ahol a törvényes felhasználók törődnek a szolgáltatási feltételekkel, a bűnözők nem. Ez egy fontos részlet mindazok számára, akik API-t tesznek közzé az interneten – csak idő kérdése, hogy az API-kat felfedezzék és visszaéljenek ”- tette hozzá. „A legfontosabb kérdés ezután az válik, hogy milyen gyorsan lehet észlelni a rendellenes használatot és korrekciós intézkedéseket hozni? Minél erősebb az API, annál vonzóbb lesz a bűnözők számára. “

Comparitech a magánélet védelmezője, Paul Bischoff szerint az adatgyűjtés olyan probléma volt, amelyet az online platformok nehezen tudtak leküzdeni. „A LinkedIn számára a kaparók gyakran nem különböztethetők meg a jogos felhasználóktól, ami nagyon megnehezíti a blokkolást. Nem számít, mit mond a LinkedIn a szolgáltatási feltételeinek betartatásáról, az az igazság, hogy a kaparókat egyhamar nem állítják le ”- mondta.

„A Facebook és más közösségi hálózatok hasonlóan küzdelem a kaparók blokkolásáért, és a Facebook állítólag megpróbálja normalizálja a gyakorlatot miután felhasználói profiljai százmillióit kaparták össze és tették közzé az interneten ”- tette hozzá.

„Bár a kaparás ellentétes a legtöbb közösségi hálózat szolgáltatási feltételeivel, a kaparók nem illegálisak. Sok ember állítja ezt minden nyilvánosan elérhető információ tisztességes játék a kaparók számára, és hogy a kaparókat törvényes célokra lehet felhasználni, például tudományos kutatásra és újságírásra.

„Végső felhasználók felelősek személyes adataik védelméért. Ha a LinkedIn-oldalad vagy más közösségi média-profilod személyes adatokat tartalmaz, és nyilvánosan megtekinthető, akkor feltételezned kell, hogy megkaparják ”- mondta Bischoff.