LinkedIn ha negado enérgicamente la exposición de datos relacionados con 700 millones de usuarios de su plataforma de redes en el lugar de trabajo, más del 90% de su base total de usuarios, que se ha ofrecido a la venta en la web oscura, es una violación de datos, insistiendo en que desde que se publicaron los datos. raspado por actores malintencionados no tiene la culpa.
Según PrivacySharks, que fue el primero en informar el incidente el 27 de junio, un usuario de RaidForums declaró por primera vez que estaba en posesión del volcado de datos el 22 de junio y proporcionó una muestra de un millón de registros como prueba.
Los investigadores de la organización confirmaron que los datos involucrados incluyen nombres completos, género, direcciones de correo electrónico, números de teléfono e información laboral. El volcado completo no parece incluir ningún registro financiero o de contraseñas, aunque se recomienda a los usuarios que cambien inmediatamente sus datos de inicio de sesión como medida de precaución y, por supuesto, deben estar atentos a la actividad sospechosa en sus tarjetas de crédito.
En un comunicado, LinkedIn dijo: “Nuestros equipos han investigado un conjunto de supuestos datos de LinkedIn que se han puesto a la venta. Queremos dejar en claro que esto no es una violación de datos y que no se expusieron datos privados de miembros de LinkedIn. Nuestra investigación inicial descubrió que estos datos se extrajeron de LinkedIn y otros sitios web diversos e incluyen los mismos datos informados a principios de este año en nuestro Actualización de raspado de abril de 2021.
“Los miembros confían en LinkedIn con sus datos, y cualquier uso indebido de los datos de nuestros miembros, como el raspado, viola los términos de servicio de LinkedIn. Cuando alguien intenta tomar datos de miembros y usarlos para fines que LinkedIn y nuestros miembros no han acordado, trabajamos para detenerlos y hacerlos responsables “.
Si bien la evaluación de LinkedIn de que el conjunto de datos es una combinación de datos de filtraciones anteriores e información extraída de perfiles públicos, y que sus sistemas no se han visto comprometidos, probablemente sea correcta, esto no significa que esté disponible para venta a actores maliciosos menos problemática.
Incluso sin registros financieros, los registros de datos personales del tipo contenido en el conjunto de datos se pueden usar fácilmente en estafas de robo de identidad o para realizar ataques de phishing y de ingeniería social dirigidos que pueden ser el precursor de incidentes de seguridad más graves, como los ataques de ransomware. Los datos también podrían terminar en manos de anunciantes en línea y organizaciones de marketing que pueden ser menos escrupulosos en la forma en que los manejan.
Tim Mackey, principal estratega de seguridad del Synopsys CyRC (Cybersecurity Research Center), dijo que aunque LinkedIn es técnicamente correcto en su evaluación, para sus usuarios no había diferencia entre un ataque a los servidores de una empresa y el mal uso de una interfaz de programación de aplicaciones. (API) para obtener datos. “La pérdida de datos es la pérdida de datos, y los atacantes encontrarán la forma más sencilla de obtener los datos que necesitan para financiar sus operaciones”, dijo.
“La pérdida de datos es la pérdida de datos, y los atacantes encontrarán la forma más sencilla de obtener los datos que necesitan para financiar sus operaciones”
Tim Mackey, Synopsys CyRC
De hecho, agregó Mackey, es probable que tales ataques de raspado se vuelvan más comunes en el futuro. “A medida que los ataques exitosos a la infraestructura se vuelven más difíciles de ejecutar, los atacantes naturalmente cambiarán su enfoque hacia el abuso de métodos de acceso legítimos como las API proporcionadas por las empresas para acceder a los datos”, dijo.
“Donde los usuarios legítimos se preocupan por los términos de servicio, los criminales no lo harán. Este es un detalle importante para cualquiera que exponga una API en Internet; es solo cuestión de tiempo antes de que se descubran y abusen de sus API ”, agregó. “La pregunta clave entonces es, ¿con qué rapidez se puede detectar un uso anormal y tomar medidas correctivas? Cuanto más poderosa sea su API, más atractiva será para los delincuentes “.
El defensor de la privacidad de Comparitech, Paul Bischoff, dijo que el raspado de datos era un problema difícil de combatir para las plataformas en línea. “Para LinkedIn, los raspadores a menudo son indistinguibles de los usuarios legítimos, lo que hace que sea muy difícil bloquearlos. Independientemente de lo que diga LinkedIn sobre el cumplimiento de sus términos de servicio, la verdad es que los raspadores no se detendrán pronto ”, dijo.
“Facebook y otras redes sociales luchan de manera similar para bloquear los raspadores, y se informa que Facebook está tratando de normalizar la práctica después de que cientos de millones de perfiles de sus usuarios fueron raspados y descargados en línea”, agregó.
“Aunque el scraping va en contra de los términos de servicio de la mayoría de las redes sociales, los scrapers no son ilegales. Hay muchas personas que argumentan que cualquier información que sea de acceso público es un juego limpio para los scrapers, y que los scrapers pueden usarse con fines legítimos como la investigación académica y el periodismo.
“Los usuarios finales son los responsables en última instancia de proteger su información personal. Si su página de LinkedIn u otro perfil de redes sociales contiene información personal y se puede ver públicamente, entonces debe asumir que se eliminará ”, dijo Bischoff.
