Un archivio contenente 500 milioni di profili LinkedIn sarebbe stato messo in vendita su un popolare forum di hacker, con altri 2 milioni di record trapelati come campione di prova dall’autore del post.
Secondo quanto scoperto da Cyber News, i 4 file trapelati contengono informazioni sugli utenti di LinkedIn i cui dati sono stati presumibilmente trafugati dall’attore della minaccia. I file sembrano contenere una varietà di informazioni per lo più professionali dai profili LinkedIn, tra cui:
- ID LinkedIn
- Nomi completi
- Indirizzi email
- Numeri di telefono
- Generi
- Collegamenti a profili LinkedIn
- Collegamenti ad altri profili di social media
- Titoli professionali e altri dati relativi al lavoro.
Mentre gli utenti sul forum degli hacker possono visualizzare i campioni trapelati per circa $ 2 di crediti del forum, l’attore della minaccia sembra mettere all’asta il database di 500 milioni di utenti per almeno una somma di 4 cifre.
L’autore del post dichiara che i dati sono stati rubati da LinkedIn. Il team investigativo di Cyber News è stato in grado di confermarlo esaminando i campioni forniti sul forum. Ciononostante, non è chiaro se l’attore della minaccia stia vendendo profili LinkedIn aggiornati o se i dati siano stati acquisiti o aggregati da una precedente violazione subita da LinkedIn o da altre società.
LinkedIn ha pubblicato una dichiarazione in cui comunica di aver verificato quanto accaduto e afferma che i dati in vendita non sono stati acquisiti a seguito di una violazione dei dati bensì di un’aggregazione di dati provenienti da una serie di siti Web e società. Si conferma pertanto il fatto che si sia trattato di scraping, azione che va in violazione con le policy del servizio.
“Abbiamo esaminato una presunta serie di dati di LinkedIn che sono stati pubblicati per la vendita e abbiamo stabilito che si tratta in realtà di un’aggregazione di dati provenienti da una serie di siti Web e società. Include i dati del profilo del membro visualizzabili pubblicamente che sembrano essere stati sottratti da LinkedIn. Non si trattava di una violazione dei dati di LinkedIn e in ciò che siamo stati in grado di esaminare non sono stati inclusi i dati dell’account di un membro privato da LinkedIn”, si legge nel comunicato di LinkedIn.
