В сеть утекли данные 700 миллионов пользователей LinkedIn

Данные 700 миллионов пользователей LinkedIn были выставлены на продажу в Интернете, что стало одной из крупнейших утечек данных с сайта на сегодняшний день.

Многие люди доверяют LinkedIn всевозможные частные данные, надеясь и уповая на то, что информация остается в надежных руках. Но оправдано ли это доверие? В 2021 году мы уже видели два инцидента, когда злоумышленники использовали платформу для профессиональных связей для сбора огромного количества данных пользователей.

Последствия этого далеко идущие: от кражи личных данных до фишинговых атак, атак с применением социальной инженерии и многого другого. Прежде чем перейти к рассмотрению последствий этой утечки, давайте сначала разберемся, что произошло.

Что конкретно произошло?

22 июня пользователь одного из популярных хакерских форумов выставил на продажу данные 700 миллионов пользователей LinkedIn. Он выложил образец данных, включающий 1 миллион пользователей соцсети. Журналисты издания Restore Privacy изучили образец и обнаружили, что он содержит следующую информацию:

• Адреса электронной почты
• Полные имена
• Номера телефонов
• Физические адреса
• Записи о геолокации
• Имена пользователей LinkedIn и URL профиля
• Личный и профессиональный опыт/биографию
• Пол
• Аккаунты и имена пользователей других социальных сетей

Пользователь форума утверждает, что полная база данных содержит личную информацию 700 миллионов пользователей LinkedIn. Поскольку, согласно данным самого сайта, у компании 756 миллионов пользователей, это означает, что почти 93% всех зарегистрированных на сайте людей могут быть найдены по этим записям.

Ниже приведен небольшой фрагмент образца, который рассмотрели журналисты, чтобы показать, сколько информации может содержать одна запись:

На основании анализа и перекрестной проверки данных из выборки с другой общедоступной информацией, все данные являются подлинными и привязаны к реальным пользователям. Кроме того, данные выглядят актуальными, поскольку выборки относятся к 2020-2021 годам.

Хотя не было найдено учетных данных для входа в систему или финансовых данных в исследованных образцах, это всё ещё является кладезем информации для злоумышленников, которые могут использовать её для получения финансовой выгоды.

Как были получены данные?

Журналисты издания связались непосредственно с пользователем, который выставил данные на продажу на хакерском форуме. Он утверждает, что данные были получены путем использования API LinkedIn для сбора информации, которую люди загружают на сайт.

На данный момент все данные по-прежнему находятся в продаже.

Специалисты Restore Privacy также обратились в LinkedIn за комментариями по поводу этой последней утечки данных, но пока не получили ответа.

Возможные последствия утечки данных

Хотя эта утечка данных LinkedIn не содержала никаких финансовых данных или учетных данных для входа в систему, она все равно может иметь серьезные последствия. Это связано с тем, что в результате утечки 700 с лишним миллионов человек подвергаются риску:

• кражи личных данных
• попытки фишинга
• атаки с использованием социальной инженерии
• попытки взлома учетных записей

Киберпреступники могут использовать информацию, найденную в слитых файлах вместе с другими данными для создания подробных профилей своих потенциальных жертв. Кроме того, злоумышленники могут использовать имеющиеся данные, в частности, имена пользователей, электронную почту и личную информацию, для получения доступа к другим аккаунтам.

Помимо прочего, эта информация подвергает пользователей LinkedIn повышенному риску со стороны недобросовестных лиц.

А после утечки личных данных их уже не вернуть.

Должны ли компании нести финансовую ответственность в случае утечки ваших данных?

Это приводит нас к интересному вопросу. Должны ли компании нести ответственность, когда пользовательские данные используются недобросовестными пользователями? В данном конкретном случае не похоже, что серверы LinkedIn были взломаны в традиционном понимании этого термина. Вместо этого, данные были собраны через собственный API (интерфейс прикладных программ) LinkedIn злоумышленниками.

На какую степень конфиденциальности стоит рассчитывать в социальной сети?

Когда вашими данными владеют другие, это подвергает вас риску. Чтобы его минимизировать, вам необходимо ограничить объём данных, которые доступны другим.

Это может включать в себя полный выход из всех социальных сетей или ограничение информации, которой вы делитесь. Также очень важно использовать продукты и услуги, которые не собирают вашу личную информацию для получения прибыли.

Снизить риски можно используя:

• Безопасные браузеры, которые уважают вашу конфиденциальность и не собирают ваши данные для рекламных сетей. Например, Brave.
• Безопасные почтовые сервисы, которые не продают доступ к вашему почтовому ящику и не просматривают ваши письма. (ProtonMail).
• Частные поисковые системы (Brave Search, DuckDuckGo).

И, конечно, вы должны всегда оставаться бдительными.

Brave запустил собственную поисковую систему с упором на конфиденциальность

Новый игрок на рынке.

Apple SPb EventДима Кутузов

Ещё по теме:

• В первой половине 2021 года траты пользователей в App Store выросли на 22,1%
• Apple заставила сотрудников носить нательные камеры, чтобы избежать утечек
• Чехи сумели взломать защиту Apple Watch