Allarme privacy e rischio truffe per 500 milioni di utenti di Linkedin: dati personali dei profili in vendita online su un forum di hacker
A pochissimi giorni dalla scoperta del massiccio furto di dati personali perpetrato ai danni di Facebook che ha coinvolto mezzo miliardo di utenti nel mondo, stavolta a fare le spese dei criminali informatici è Linkedin, il social network professionale per eccellenza usato principalmente nello sviluppo delle relazioni di lavoro. Un enorme archivio contenente dati presumibilmente trafugati da 500 milioni di profili Linkedin è stato infatti messo in vendita online, con altri 2 milioni di record esibiti come campione di prova di autenticità dall'autore del post che ne ha dato l’annuncio su un popolare forum di hacking.
(Nella foto: Nicola Bernardi, presidente di Federprivacy)
Dato che il numero dei profili coinvolti si avvicina alla quasi totalità degli utenti di Linkedin, che a livello mondiale conta oltre 600 milioni di iscritti, il timore adesso è che anche buona parte dei 21 milioni di utenti italiani sia coinvolto da questa maxi violazione, in cui le informazioni sottratte comprenderebbero gli username, i nominativi completi, gli indirizzi email, i numeri di telefono, il sesso, i collegamenti ad altri profili Linkedin e a quelli di altri social media, nonché i titoli professionali e le altre informazioni relative alle proprie attività che generalmente gli utenti caricano sul proprio profilo su Linkedin. Non risulterebbero invece essere stati sottratti dati di carte di credito o altre informazioni per altri strumenti di pagamento.
Secondo quanto riferisce il sito di sicurezza informatica Cyber News, nel forum di hacking è possibile scaricare per soli due dollari i campioni di database messi a disposizione per verificarne il contenuto e la sua qualità, mentre per entrare invece in possesso del database integrale da mezzo miliardo di utenti pare che le cifre richieste siano molto più alte e con diversi zeri, presumibilmente in bitcoin per mantenere l’anonimato.
Quello che allo stato attuale non è ancora chiaro, è se gli archivi di Linkedin che sono stati messi all’asta online siano aggiornati oppure se si tratti di dati relativi a precedenti violazioni subìte in passato dal noto social media professionale.
Sta di fatto che alle richieste di chiarimento inviate dagli esperti di Cyber News, al momento Linkedin non ha fornito risposta, e neppure risulta che agli utenti italiani sia ancora pervenuta una segnalazione del data breach come previsto dall’art.34 del Gdpr quando è presente un rischio elevato per i diritti e le libertà delle persone fisiche.
Ad ogni modo il consiglio è che fin da subito gli utenti di Linkedin non esitino a cambiare la propria password del proprio profilo e che, se vi hanno immesso il proprio numero di telefono, prestino particolare attenzione a possibili anomalie sui propri cellulari per difendersi da possibili attacchi di “SIM swapping” che potrebbero arrivare da malintenzionati, e lo stesso vale per email di spear phishing, che per assurdo potrebbero arrivare proprio da un mittente che si spaccia sotto mentite spoglie per Linkedin, magari con una finta comunicazione di sicurezza proprio in relazione al data breach.
Altre pericolose minacce riguardanti in particolare la privacy degli utenti professionali derivanti da un illecito uso dei dati contenuti negli archivi rubati, possono scaturire da furti d’identità, tecniche di social engineering, e la sempre più diffusa BEC (Business Email Compromise), ovvero quella truffa in cui il criminale invia una mail ad una segretaria o ad un responsabile amministrativo di una società fingendosi di essere l'amministratore delegato o un top manager che richiede di effettuare un bonifico urgente ad un certo fornitore, indicando però un iban su cui trasferire i fondi riconducibile ad una organizzazione criminale, stratagemma che può rivelarsi particolarmente efficace nei confronti di molti utenti di Linkedin, i quali sono soliti indicare tutti i dettagli necessari al malintenzionato, come l'azienda di appartenenza, il ruolo ricoperto, i suoi contatti di lavoro, e anche quali sono i suoi colleghi.
In attesa di vedere gli sviluppi della vicenda e che l’Autorità per la protezione dei dati personali faccia luce sull’accaduto, è raccomandata quindi la massima allerta per tutti gli utenti di Linkedin, prestando molta cautela sui messaggi e sulle email che ricevono, anche quando sembrano provenire da mittenti affidabili, o addirittura da un proprio responsabile.