Il caso di apparente data leak di LinkedIn, proprio a ridosso di una vicenda molto simile che ha coinvolto Facebook, fa senza dubbio scalpore, principalmente per il numero di record coinvolti. A quanto risulta da prime evidenze, ancora ipotetiche, si tratta di circa un miliardo di dati di mezzo miliardo di profili, 21 milioni italiani, in pacchetti disponibili a 1500 euro.
Con indirizzi e-mail, numeri di telefono, link ad altri profili di social media e dettagli professionali.
Pubblicazione dati dei profili Linkedin, che è successo
Molto probabilmente non si tratta di una violazione diretta di server o database di Linkedin, ma di un caso di scraping di credenziali, come nel caso di Facebook.
La metodologia di per sé non dovrebbe sconvolgerci.
Quando decidiamo di iscriverci a quella che di fatto è una “vetrina” sul mondo sul mondo del lavoro, consciamente o meno, cediamo e affidiamo parte delle nostre informazioni sensibili a terze parti.
LinkedIn, 500 milioni di profili in vendita sul Dark Web: è allarme truffe
È tutto parte di quel processo di “socializzazione” che ogni aspetto della nostra vita sembra aver irrimediabilmente imboccato.
Le responsabilità
Le questioni che sorgono nello specifico da questo caso sono due: in primo luogo il lungo dibattuto tema della responsabilità oggettiva di proteggere il dato da parte di chi lo gestisce (in questo caso LinkedIn). Come poteva agire per evitare questo apparente furto d’informazioni, che contromisure avrebbe dovuto adottare…
Analoghe considerazioni si possono fare per Facebook (vedi box sotto).
Esposti i dati Facebook di milioni di italiani: ecco le conseguenze giuridiche
Profili Linkedin esposti, i rischi cyber security
Dal punto di vista strettamente cyber security, invece, quello che salta all’occhio è la mole di dati che sembrano essere stati messi in vendita.
Di per sé il data scraping non è una metodologia di raccolta di credenziali particolarmente complessa, anzi a dirla tutta è molto semplice, tanto che raccogliere alcune centinaia di record come quelli che si vocifera essere in vendita non richiede più di qualche minuto. Ciò che colpisce di più è come i criminal hacker siano riusciti a costruire un database così ampio ammassando i dati di tre quarti degli utenti iscritti alla piattaforma…
I risvolti della vicenda – sempre che sia confermata la veridicità del database, che stiamo analizzando, e a breve pubblicheremo un’analisi dettagliata – potrebbero avere caratteri simili a tanti episodi che abbiamo osservato negli ultimi anni: dati che vengono venduti a criminal hacker terzi per massicce campagne di phishing, magari di altro profilo su manager (attacchi BEC)
Un metodo evergreen di prendere di mira chiunque utilizzi una casella postale che – anche grazie alle peculiari condizioni che stiamo affrontando – continua a riscuotere un “successo” incredibile tra i criminal hacker.
Anche per gli impatti possono valere le stesse considerazioni del caso Facebook (vedi sotto).
Facebook, pubblici i dati di 36 milioni di italiani: come possiamo difenderci
In conclusione
Una riflessione conclusiva generale, sullo scenario verso cui sempre più stiamo andando.
La quantità di informazioni che ci “assale” durante il giorno lavorativo – ora principalmente via digitale – è gioco forza analizzata con quello che Maslow chiamava “pensiero veloce”. Passare al setaccio ogni singola email è sicuramente l’approccio giusto da un punto di vista teorico ma quando le richieste arrivano una dietro l’altra senza soluzione di continuità, il setaccio viene messo da parte.
La verità è che gli uomini cadono preda delle email di phishing non perché siano stupidi o pigri, o perché non applicano le informazioni fornite attraverso i corsi di aggiornamento. Ma perché sono troppo presi dai task aperti e dalle mille altre attività che contraddistinguono ogni giornata lavorativa e non.
Questa “debolezza” molto umana è ciò che cercano i criminal hacker ed è ciò che dà adito a casi come quelli di LinkedIn: la ricerca di sempre più bersagli da colpire.
Siamo in una fase in cui casi come questo tendono a diventare sempre più comuni. Le soluzioni al problema sono ancora da trovare, ma passano probabilmente da una maggiore consapevolezza (educazione) degli utenti contro il rischio truffa, che di converso tenderanno a diventare sempre più sofisticate (si parla già di quelle con deepfake); ma anche una maggiore responsabilità delle piattaforme (anche attraverso il peso di norme e autorità) potrà giocare un ruolo positivo.
Ad esempio: è emerso nei giorni scorsi che Facebook era al corrente già dal 2017 del rischio scraping ma ha scelto di ignorare il problema, fino al 2019 quando ha chiuso la porta a questi strumenti; proprio poco dopo la cattura in massa di quei dati che ora si trovano disponibili online pubblicamente.
