Cyberbezpieczeństwo

Z serwisu LinkedIn wyciekły dane przeszło 700 milionów osób

Naruszenie dotyczy więc ponad 92% użytkowników popularnego serwisu. Wśród ofiar ataku najprawdopodobniej znajduje się również większość z 4,2 mln polskich użytkowników LinkedIn. Zdaniem ekspertów, wyciek jest konsekwencją ataku na interfejs programowania aplikacji.

Z serwisu LinkedIn wyciekły dane przeszło 700 milionów osób

Przejęta w wyniku ataku baza danych użytkowników LinkedIn została wystawiona na sprzedaż na popularnym forum hakerskim 22 czerwca. Niestety, jej autentyczność została potwierdzona na podstawie próbki miliona rekordów, udostępnionej przez cyberprzestępcę odpowiedzialnego za kradzież danych. Sprawdzone dane wydają się być również aktualne – pochodzą z lat 2020-2021, a zawierają następujące informacje:

  • adresy e-mail,
  • imiona i nazwiska,
  • numery telefonów,
  • adresy,
  • dane o geolokalizacji,
  • adresy url profili użytkowników w serwisie LinkedIn,
  • doświadczenia osobiste i zawodowe,
  • płeć,
  • informacje o kontach w innych mediach społecznościowych.

Jak widać, wyciek nie uwzględnia haseł dostępu, ale, jak podkreślają specjaliści, nadal są to cenne dane, które mogą zostać wykorzystane do kradzieży tożsamości czy przekonujących prób phishingu zmierzających do uzyskania danych logowania do LinkedIn oraz innych witryn.

“Przypadek wycieku danych z LinkedIn jest podobny do tego, o którym pisaliśmy wcześniej, a który dotyczył TikToka, gdzie udało nam się „przeszukać” API TikTok i zbudować bazę danych użytkowników. W przypadku Linkedina wygląda na to, że hakerzy uzyskali dane, hakując jego API “– skomentował Oded Vananu, szef działu podatności produktów w firmie Check Point Software Technologies.

Z kolei serwis Restore Privacy skontaktował się z przedstawicielami LinkedIn i poprosił o komentarz do zaistniałej sytuacji. W odpowiedzi otrzymano poniższe oficjalne oświadczenie: “Badamy zestaw rzekomych danych LinkedIn, które zostały wystawione na sprzedaż. Chcemy wyraźnie zaznaczyć, że nie było to naruszenie danych i żadne prywatne dane członków LinkedIn nie zostały ujawnione. Nasze wstępne dochodzenie wykazało, że rzeczywiście dane te zostały pozyskane z LinkedIn i innych różnych stron internetowych, ale obejmują te same dane, które trafiły do sieci w wyniku naruszenia, o którym informowaliśmy wcześniej w kwietniu tego roku”.

Rzeczywiście, to już drugi wyciek danych z LinkedIna w tym roku. W kwietniu na czarny rynek trafiły dane około 500 milionów użytkowników.

Tego typu incydenty pokazują, że bezpieczeństwo API jest bardzo ważną kwestią podczas budowania logiki i infrastruktury aplikacji. Aplikacje w chmurze są budowane głównie z podstawową logiką aplikacji, która jest „połączona” z wieloma interfejsami API, które dostarczają dane w całej aplikacji. Jeśli interfejsy API nie są zabezpieczone, pojawia się spore ryzyko, zwłaszcza w przypadku podatności kodu API lub nieograniczonej liczby wywołań API. Może to skutkować dużym wyciekiem baz danych, takim jaki widzieliśmy w zgłaszanych przez nas wcześniej wypadkach oraz w tym na LinkedIn” – podsumował Oded Vananu.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *