El mes pasado, se informó de un hackeo de LinkedIn que expuso los datos de 700 millones de usuarios, o el 92% de todos los usuarios del servicio. Los datos incluyeron ubicación, números de teléfono y salarios deducidos. El hombre detrás de la operación, que se hace llamar «Tom Liner», le dijo a la BBC que hizo el truco por diversión. En solo unos meses, LinkedIn ha sido estafado dos veces por piratas informáticos. En ambos casos se utilizó el mismo método: desnatado. Cuando se trata de scraping, muchos profesionales de la seguridad afirman que no es una violación de seguridad si los datos están disponibles públicamente. Incluso si no se obtiene información financiera, sigue siendo preocupante. De hecho, una simple dirección de correo electrónico a veces puede ser suficiente para suplantar o realizar ataques de phishing dirigidos.
El raspado de datos es un tema controvertido. Concretamente, el scraping consiste en extraer datos de un sitio web con un programa y luego usarlos o revenderlos. En su forma más simple, implica escribir un programa que visita una página web, lee los datos mostrados y luego los agrega a una base de datos. Más comúnmente, las personas usan API (interfaces de programación de aplicaciones) proporcionadas por un servicio web con fines legítimos y las usan para recuperar grandes cantidades de datos.
Esta práctica es controvertida porque, por un lado, quienes practican el scraping podrían argumentar que solo están accediendo a datos disponibles públicamente, lo están haciendo de manera efectiva. Otros afirman que abusan de herramientas que no están diseñadas para este propósito y que hay más datos disponibles a través de las API de los que se ven en los sitios web, lo que dificulta a los usuarios ver qué datos se han expuesto. La terminología es incluso objeto de controversia. Muchos profesionales de la seguridad afirman que no es una violación de la seguridad si los datos están disponibles públicamente. Pero si un servicio como LinkedIn no detecta que alguien está borrando cientos de millones de registros, ¿no sonaría como un enorme agujero de seguridad?
LinkedIn busca diversión y ganancias
La BBC habló con el hombre que tomó los datos y declinó su identidad como Tom Liner. ¿Cómo se sentiría si un pirata informático indexara toda su información y la pusiera en una enorme hoja de cálculo con millones de entradas para venderla en línea al mejor postor? Eso es lo que hizo un hacker que se hacía llamar «Tom Liner» el mes pasado «por diversión».
El hacker puso a la venta 700 millones de cuentas de LinkedIn en un foro especializado. La cantidad solicitada fue el equivalente a unos 4.200 euros. Envíe una muestra gratuita con 1 millón de cuentas para demostrar que el contenido es real. Los controles mostraron que los datos pertenecían realmente a los solicitantes de registro. Había nombres, direcciones de correo electrónico, números de teléfono, direcciones postales, ubicaciones, nombres y enlaces de perfiles de LinkedIn, experiencias laborales, género y apodos de otras redes sociales.
El hacker dice que tomó varios meses hacer esto. Fue muy complicado. Has pirateado la API de LinkedIn. Si realiza demasiadas solicitudes de datos de usuario a la vez, el sistema lo prohibirá permanentemente, dice. Y una pequeña sorpresa: el famoso Tom Liner asegura que el robo de 533 millones de cuentas de Facebook el pasado mes de abril también estuvo entre sus negocios. Nos asegura que el método de recuperación fue relativamente similar entre Facebook y LinkedIn. Esto en ambos casos incluye abusar de la API para recopilar la mayor cantidad de información posible.
LinkedIn no ha revelado de manera agresiva datos sobre los 700 millones de usuarios de su plataforma de redes de trabajadores que se incluyó a la venta en la web oscura como una violación de datos, e insiste en que el hecho de que los datos fueron recuperados de otra manera por actores maliciosos no es culpable.
LinkedIn niega haber usado Liner para su API, pero la firma de ciberseguridad SOS Intelligence dice que necesitamos más controles sobre su uso. Los detalles de este caso, y otros eventos de skimming masivo, no son lo que la mayoría de la gente espera en el dominio público, dice Amir Hadibaish, CEO y fundador de SOS Intelligence. Él cree que los programas API, que proporcionan más información sobre los usuarios que el público en general, deben ser monitoreados de cerca.
Las filtraciones a gran escala como esta son preocupantes, dada la complejidad de esta información, en algunos casos, como ubicaciones geográficas o teléfonos celulares privados, direcciones de correo electrónico … Para la mayoría de las personas, es sorprendente que estos servicios de enriquecimiento de API contengan mucha información , dijo Hadipaić.
Troy Hunt, experto en seguridad y propietario de haveibeenpwned.com dice que no ve el abuso de API como una violación de la seguridad, pero está de acuerdo en que se necesita más control. No estoy en desacuerdo con la posición de Facebook y otros, pero tengo la impresión de que la respuesta a «esto no es un problema», aunque técnicamente puede ser correcta, pasa. Sentir el valor de esto y de los datos de los usuarios puede reducir su papel en la creación de estas bases de datos.
Fuente: BBC
¿Y tú?
¿Cuáles son sus comentarios sobre la situación? Los datos de venta se obtuvieron raspando los datos de LinkedIn. ¿Cómo protege sus cuentas de redes sociales de esta práctica?
Ver también:
Venta de datos de 700 millones de usuarios de LinkedIn o más del 92% del total de 756 millones de usuarios: más recopilación de datos¿Por qué es probable que la supuesta filtración de datos de Clubhouse sea solo un «fragmento» de datos? Toda la información parece ser pública.Se han puesto a la venta datos sobre 11 millones de usuarios franceses robados de la plataforma de marketing Apollo, y los archivos incluyen nombres y direcciones.
