I dati di 500 milioni di account LinkedIn sarebbero in vendita online. A distanza di pochi giorni dalla fuga di dati per oltre 530 milioni di account Facebook, tocca ora al social network di proprietà Microsoft il dovere di affrontare un’emergenza le cui cause sono ancora tutte da indagare. 500 milioni significano molto per LinkedIn: rappresentano praticamente i due terzi del totale della community che gravita sul social network.
500 milioni di account trafugati
Secondo quanto scoperto da Cyber News, oltre ai 500 milioni di account in vendita ve ne sarebbero 2 milioni “in regalo”, ossia liberamente visibili come dimostrazione della bontà del db. Il contenuto sarebbe organizzato in 4 file, nei quali sarebbero contenuti nome, cognome, email, numero di telefono, informazioni professionali, connessioni con altri utenti e altro ancora a proposito del titolare dell’account.
Il venditore avrebbe spiegato come i dati sarebbero frutto di scraping, dunque sarebbe potenzialmente accaduto esattamente quanto successo a Facebook: non una vera e propria forzatura, ma l’aggiramento dei limiti del network per riuscire a depredare quante più informazioni possibili. Il prezzo? All’asta: il fornitore accetta offerte a 4 cifre (minimo 1000 dollari, quindi).
Al momento da LinkedIn non è arrivata ancora alcuna presa d’atto per quanto scoperto. Un database simile potrebbe essere utilizzato per finalità truffaldine, potendo agire su milioni di utenti e con informazioni tali da poter rendere particolarmente efficace una eventuale azione di phishing. Modificare la password, nel caso in cui si faccia uso di credenziali troppo semplici da scoprire, potrebbe essere una buona soluzione, ma in ogni caso converrà alzare l’attenzione circa ogni possibile tentativo di attacco dovesse arrivare nei mesi a venire.
Si attende ora di capire come reagirà LinkedIn e se anche in questo caso il Garante Privacy vorrà intervenire secondo le modalità già portate avanti con Facebook nei giorni scorsi. Nello specifico il Garante ha chiesto a Facebook anche uno strumento ad hoc per verificare se il proprio account sia stato o meno violato, vietando al tempo stesso medesimo servizio da parte di soggetti terzi non autorizzati: il rischio è che un servizio di controllo possa farsi a sua volta collettore di informazioni, raddoppiando il rischio invece di calmierarlo.
Aggiornamento
LinkedIn ha comunicato di aver verificato quanto accaduto e che nessun dato privato è stato trafugato: si conferma pertanto il fatto che si sia trattato di scraping, azione che va in violazione con le policy del servizio. Nel frattempo prende il via l’azione di verifica da parte del Garante Privacy.