La nuova frontiera del crimine sembra interessare la rete, con la sottrazione di milioni di profili dai social network. Dopo quello più noto di facebook di qualche anno fa è stata la volta di LinkedIn. Milioni di profili sono stati infatti rubati e rimessi in vendita in rete.

La giustificazione di LinkedIn

La società frodata è corsa ai ripari specificando come non vi sia stata alcuna violazione dei sistemi del social: nessun hackeraggio, nessun breach. I dati, hanno spiegato, sono tutti accessibili tramite le informazioni di profilo rese pubbliche dagli utenti. 

E’, questa la giustificazione utilizzata sia da Linkedin che da Facebook per allontanare ogni sospetto sulla sicurezza dei loro sistemi e additare la tecnica dello scraping (in breve la raccolta automatizzata di dati da siti web tramite script o app apposite) come “arma del delitto”.

Dove sono finiti i dati rubati?

I dati di 500 milioni di profili LinkedIn rubati sono stati successivamente messi in vendita nel Dark Web (su quasi 740 milioni di utenti iscritti al social network professionale per eccellenza), tra cui indirizzi e-mail, numeri di telefono, link ad altri profili di social media e dettagli professionali.

Informazioni riservate e personali che ora potrebbero essere utilizzate per lanciare ulteriori attacchi e truffe online. Considerato il numero così elevato di profili coinvolti nel data leak, è facile supporre che anche i 21 milioni di utenti italiani iscritti a LinkedIn siano ora esposti ad ogni tipo di attività criminale.

A riprova della veridicità dei dati rubati, il venditore “offre” la possibilità di scaricare 2 milioni di profili a soli 2 dollari, mentre per l’accesso al database completo di informazioni di account rubati viene richiesto il pagamento di circa 1.800 dollari.

Il precedente di FAcebook

Questo nuovo data leak, scoperto dai ricercatori di Cyber News, segue di pochi giorni il massiccio furto di dati personali degli utenti Facebook: e come nel caso di Facebook, è l’analisi di Paolo Dal Checco, consulente informatico forense , “anche per LinkedIn si tratta del cosiddetto scraping, cioè di una raccolta di dati ottenuta richiedendo informazioni direttamente al portale su cui tali dati sono contenuti. Tale raccolta può avvenire tramite API (un codice di comunicazione tipicamente usato da componenti di software per parlare tra loro, ricerche (come quelle fatte direttamente dagli utenti) o persino mediante l’utilizzo d’indirizzi specifici all’interno dei siti che restituiscono i dati d’interesse”.

Come difendere il proprio profilo

In attesa di conoscere maggiori dettagli sulla veridicità del data leak, è importante adottare alcune precauzioni per mettere in sicurezza il proprio account LinkedIn:

  • la prima cosa da fare è cambiare le password di accesso al profilo e tutte le password degli account e-mail associati ai profili LinkedIn;
  • l’aggiornamento delle credenziali di accesso a LinkedIn è l’occasione per creare una password forte, casuale e unica; per evitare di dimenticarla, è quindi utile memorizzarla in un password manager in grado di compilare automaticamente i form di login ai vari servizi online;
  • è importante, inoltre, abilitare l’autenticazione a due fattori (2FA) sugli account LinkedIn e su qualsiasi altro account che consente di attivare questo utile sistema di sicurezza. 

Vista la tipologia di dati rubati, è quindi importante seguire queste semplici precauzioni per mettersi al riparo da possibili truffe online:

  • diffidare dei messaggi LinkedIn e delle richieste di connessione da parte di persone sconosciute;
  • imparare a identificare le e-mail e i messaggi di testo di phishing;
  • non aprire mai i link a siti web da un’e-mail, e invece navigare manualmente su un sito e fare lì il login;
  • installare un efficiente software antiphishing e antimalware.

Il Garante Italiano interviene

In seguito alla violazione, il Garante privacy italiano ha aperto un’istruttoria nei confronti di Linkedin. Allo stesso tempo, è stato adottato un provvedimento per avvertire chiunque sia entrato in possesso dei dati personali illegalmente sottratti che il loro utilizzo “è in contrasto con la normativa in materia di protezione dei dati personali, essendo tali informazioni frutto di un trattamento illecito. L’utilizzo di questi dati – , ricorda il Garante in una nota ufficiale -, comporta conseguenze, anche di carattere sanzionatorio“.

Il Garante ha anche invitato gli utenti italiani a fare attenzione nelle prossime settimane a eventuali anomalie sul proprio telefono o nel proprio account. L’autorità avvisa infatti che potrebbero verificarsi tentativi di chiamate e messaggi indesiderati, truffe online, furto di identità o SIM swapping.