Dopo poche ore dall’annuncio dello scraping di 533 milioni di utenti Facebook, anche Linkedin nell’occhio del ciclone con altri 500 milioni di account trafugati ed in vendita sul Dark Web.
Per confermare la veridicità delle informazioni contenute, un pacchetto da 2 milioni di utenti sarebbe disponibile a soli 2$, mentre se si volesse acquistare tutto il contenuto dei 500 milioni di account, basterebbero circa 1800$.
Non finisce la catena scandalosa di azioni contro la privacy degli utenti dei social media, per di più ancora nessun passo avanti nella sicurezza, parliamo di dati personali ancora:
- nome e cognome
- numero di telefono
- informazioni professionali
- connessioni con altri utenti
Addirittura pare possibile che a rischio ci siano anche altri tipi di informazioni, ancora non precisate, anche se da alcuni dati raccolti pare non siano presenti carte di credito, tutto questo con l’aggravante che, al contrario di Facebook che risolse il problema nel 2019, per Linkedin invece tutto è di dominio pubblico.
Cosa vuol dire questo? Che la pratica seppure legale, è vietata dai social nei termini di condizione contrattuale, ma le misure di sicurezza possono essere facilmente eluse, dato che queste pratiche sono effettuate da esperti, mentre invece a quanto pare le contromisure non sono altrettanto efficienti.
I ricercatori di Cyber News hanno confermato che i dati esposti dagli account Linkedin sono legittimi, ma hanno precisato:
“Non è chiaro se l’attore della minaccia stia vendendo profili LinkedIn aggiornati, o se i dati siano stati presi o aggregati da una precedente violazione subita da LinkedIn o da altre aziende”
Nel caso specifico c’è da considerare comunque lo scenario peggiore, infatti attraverso il social engineering è possibile incrociare i dati raccolti, costruire il profilo utente e bersagliarlo con attacchi mirati di frodi, o peggio il furto di identità digitale, cosa piuttosto comune nel Dark Web.
Cosa fare se si è in possesso di un account Linkedin
- Cambia tutte le password, del profilo e delle mail associate, meglio se utilizzi il generatore di password casuali di Google
- Abilita più modi combinati di accesso, come la conferma su mail o sms (2FA)
- Installa un software antimalware e antiphishing, magari evita i freeware, dato che non hanno molto supporto
- Leggi una guida per identificare le mail potenzialmente fraudolente
- Non aprire mai i link inviati alla tua mail
Nel frattempo Agcom ha aperto un’inchiesta e presto le persone che hanno subito il furto dei dati, saranno contattati, e aggiunge inoltre questo comportamento:
“è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati, comporta conseguenze, anche di carattere sanzionatorio“
Continua a seguirci per ulteriori sviluppi sul caso.