Este é um dos maiores vazamentos de dados do LinkedIn até hoje
Por Sven Taylor, fundador da RestorePrivacy
O LinkedIn confirmou por e-mail ao RestorePrivacy – site que noticiou o incidente em primeira mão – que os dados foram obtidos de seus servidores, bem como de outras fontes. E ao contrário de alguns relatórios, o LinkedIn NÃO nega que os dados foram coletados de seus servidores. Ressaltam, porém, que alguns dados também foram obtidos de outras fontes.
Muitas pessoas confiam no LinkedIn com todos os tipos de dados privados, esperando e confiando que as informações permaneçam em boas mãos. Mas essa confiança é garantida? Até agora, em 2021, já vimos dois incidentes separados em que malfeitores exploraram a plataforma de rede profissional para coletar grandes quantidades de dados do usuário.
As implicações disso são de longo alcance, desde roubo de identidade a ataques de phishing, ataques de engenharia social e muito mais. Antes de mergulharmos nas consequências desse vazamento, vamos primeiro examinar o que aconteceu.
O que aconteceu exatamente?
Em 22 de junho, um usuário de um fórum popular de hackers anunciou dados de 700 milhões de usuários do LinkedIn para venda. O usuário do fórum postou uma amostra dos dados que inclui 1 milhão de usuários do LinkedIn. Examinamos a amostra e descobrimos que ela continha as seguintes informações:
- Endereço de e-mail
- Nomes completos
- Números de telefone
- Endereços físicos
- Registros de geolocalização
- Nome de usuário do LinkedIn e URL do perfil
- Experiência / histórico pessoal e profissional
- Sexos
- Outras contas de mídia social e nomes de usuário
O usuário afirma que o banco de dados completo contém as informações pessoais de 700 milhões de usuários do LinkedIn. Como o LinkedIn tem 756 milhões de usuários, de acordo com seu site, isso significaria que 92% de todos os usuários do LinkedIn podem ser encontrados nesses registros.
Abaixo está uma pequena seção da amostra que examinamos para mostrar quantas informações um registro pode conter:
Com base em nossa análise e verificação cruzada de dados da amostra com outras informações disponíveis publicamente, parece que todos os dados são autênticos e vinculados a usuários reais. Além disso, os dados parecem estar atualizados, com amostras de 2020 a 2021.
Embora não tenhamos encontrado credenciais de login ou dados financeiros nas amostras que examinamos, ainda há um tesouro de informações que os malfeitores podem explorar para obter ganhos financeiros, conforme explicaremos mais a seguir.
Como os dados foram obtidos?
Entramos em contato diretamente com o usuário que está postando os dados à venda no fórum de hackers. Ele afirma que os dados foram obtidos explorando a API do LinkedIn para coletar informações que as pessoas enviam para o site.
Abaixo está uma interação que tivemos com o ator da ameaça no Telegram. Você pode ver que ele está pedindo $ 5.000 pelo conjunto de dados completo e afirmando que os dados foram adquiridos por meio da API do LinkedIn.
No entanto, o LinkedIn nos enviou um e-mail com uma explicação, informando que nem todos os dados poderiam ter sido adquiridos por meio da API do LinkedIn. Em vez disso, alguns dos dados provavelmente vieram de outras fontes.
O LinkedIn até mesmo emitiu uma declaração aqui, onde eles observam que sua “investigação inicial descobriu que esses dados foram extraídos do LinkedIn e de outros sites”.
Tudo continua à venda neste momento.
Resposta oficial do LinkedIn
Também entramos em contato com o LinkedIn para comentar sobre esse vazamento de dados mais recente. Eles confirmaram que os dados foram extraídos de seus servidores, bem como de outras fontes, mas também afirmam que “nenhum dado privado de membro do LinkedIn foi exposto”. E observe que a definição de “dados privados” é certamente subjetiva.
Nossas equipes investigaram um conjunto de supostos dados do LinkedIn que foram postados para venda. Queremos deixar claro que isso não é uma violação de dados e nenhum dado privado de membro do LinkedIn foi exposto. Nossa investigação inicial descobriu que esses dados foram extraídos do LinkedIn e de outros sites e incluem os mesmos dados informados no início deste ano em nossa atualização de dados de abril de 2021.
– O demonstrativo completo do LinkedIn pode ser encontrado aqui.
É importante observar que o LinkedIn não nega que os dados foram coletados de seus servidores. Eles estão simplesmente apontando que:
- Alguns dos dados também foram obtidos em “outros vários sites”.
- Eles não consideram seus dados do LinkedIn que foram expostos como “privados”.
Então, qual é a definição de “dados privados” e que expectativa de privacidade você tem quando carrega dados no LinkedIn? Deixe-nos saber a sua opinião nos comentários!
Possível impacto deste último vazamento de dados do LinkedIn
Embora o último vazamento do LinkedIn não contenha nenhum registro financeiro ou credencial de login, ainda existem sérias consequências. Isso ocorre porque coloca mais de 700 milhões de pessoas em risco de:
- roubo de identidade
- tentativas de phishing
- ataques de engenharia social
- Contas hackeadas
Os cibercriminosos podem usar as informações encontradas nos arquivos vazados com outros dados para criar perfis completos e detalhados de suas vítimas em potencial. Além disso, os malfeitores podem usar os dados disponíveis, especialmente nomes de usuário, e-mails e informações pessoais, para obter acesso a outras contas.
Acima de tudo, essas informações expõem os usuários do LinkedIn a um risco maior de exploração por malfeitores.
E uma vez que seus dados privados vazam, não há como recuperá-los.
As empresas devem ser financeiramente responsáveis quando seus dados são expostos?
Isso nos leva a uma questão interessante. As empresas devem ser responsabilizadas quando os dados do usuário são explorados por malfeitores?
Nesse caso específico, não parece que os servidores do LinkedIn foram hackeados ou que houve uma “violação” completa no sentido tradicional do termo. Em vez disso, no entanto, os dados foram coletados por meio da própria API do LinkedIn (interface de programa de aplicativo) por agentes de ameaças.
Quanta privacidade se deve realmente esperar em um site de rede social?
Quando outras pessoas têm seus dados, isso o coloca em risco
Já dissemos e diremos novamente: qualquer empresa, indivíduo ou entidade que tenha controle sobre seus dados privados o coloca em risco. Se esse risco é mínimo ou vasto depende dos dados, de quem os está protegendo e das consequências de sua perda.
Para minimizar esse risco, você precisa limitar a quantidade de dados disponíveis para outras pessoas.
Isso pode incluir sair totalmente de todas as redes sociais ou limitar as informações que você compartilha. Usar produtos e serviços que não colhem suas informações pessoais para lucro também é crucial. Revisamos algumas das melhores opções com:
- Navegadores seguros que respeitam sua privacidade e não coletam seus dados para redes de publicidade
- Serviços de e-mail seguros e privados que não vendem acesso à sua caixa de entrada nem vasculham seus e-mails
- Mecanismos de busca privados
E, claro, você deve permanecer atento a todos os ataques em potencial enquanto continua protegendo suas informações pessoais.
Fonte: RestorePrivacy
Sobre Sven Taylor
Sven Taylor é o fundador da RestorePrivacy. Com uma paixão pela privacidade digital e pela liberdade online, ele criou este site para fornecer a você informações honestas, úteis e atualizadas sobre privacidade online, segurança e tópicos relacionados. Seu foco está em pesquisa de privacidade, redação de guias, teste de ferramentas de privacidade e administração de sites.
LinkedIn’s full statement can be found here.
Colabore para melhoria da tradução. Escreva para redacao@localhost