Szerző: Dömös Zsuzsanna

2023. november 7. 13:00

Több millió LinkedIn-profil adatait sikerült lekaparni

Nyilvános profiladatokból és részben kitalált, részben valid e-mail címekből álló csomagot vizsgált Troy Hunt biztonsági szakértő, több millió LinkedIn-felhasználó érintett.

Újabb kollekcióval bővült a Have I Been Pwned adatbázisa, a felhasználók már azt is ellenőrizhetik, hogy tartalmazza-e a LinkedIn felületén regisztrált e-mail címüket a legutóbbi, több millió felhasználó adatait tartalmazó csomag. Az ismeretlen elkövetők november elején tették közzé a gyűjtést a népszerű Breach Forums hackerfórumon egy letölthető CSV-fájl formájában, teljesen ingyen. A bejegyzés szerzője hangsúlyozta, hogy az érintett személyek egy része befolyásos tisztviselő vagy híresség.

Troy Hunt alapító és biztonsági szakértő blogján közzétett elemzésében kiemeli, hogy a mintavételek alapján a „Linkedin Database 2023” csomag valójában nyilvánosan elérhető profiladatokat (kép, telefonszám, e-mail cím, munkahelyi információk) és 5,8 millió olyan e-mail címet tartalmaz, melyek jelentős része az adott személy teljes nevéből kikövetkeztetett, hamis kombináció.

pwned

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A szakértők egyelőre még nem jutottak dűlőre abban a kérdésben, hogy a lekapart adatok is kiszivárgott adatoknak minősülnek-e, lévén nyilvánosan elérhető információk tömeges gyűjtéséről van szó az ilyen csomagok esetében. Adatvédelmi incidensnek az tekinthető, ha az illetéktelen olyan adatokhoz fér hozzá, amit alapvetően nem szándékozott nyilvánosan hozzáférhetővé tenni az érintett fél.

Mivel Hunt szerint a LinkedIn-adatokat olyan módon gyűjtötték össze és terjesztették tovább, ahogy azt sem a szolgáltatás, sem az érintettek  nem szerették volna, ráadásul sok esetben fabrikált címeket tartalmaz a csomag, problémásnak tekinthető. Több e-mail-címet úgy állítottak elő, hogy a munkáltató cég hivatalos domainjéhez társították adott alkalmazott vezeték és keresztnevét, vagy már korábbi szivárgások során felfedett rekordokat emeltek be.

Egyelőre az is kérdéses Hunt szerint, mi a közzétett csomag célja: az összekapart adatok többek közt célzottabb adathalász-támadásokhoz hasznosíthatók személyazonosság-lopás céljából, de a LinkedIn-profilok adataival egyszerűbbé válik a hamis profilok létrehozása is, ez különösen a nagyobb vállalatok, kormányzati szereplők számára kockázatosabb.

a címlapról