NEWS

Allarme privacy e rischio truffe per 500 milioni di utenti di Linkedin: dati personali dei profili in vendita online su un forum di hacker

A pochissimi giorni dalla scoperta del massiccio furto di dati personali perpetrato ai danni di Facebook che ha coinvolto mezzo miliardo di utenti nel mondo, stavolta a fare le spese dei criminali informatici è Linkedin, il social network professionale per eccellenza usato principalmente nello sviluppo delle relazioni di lavoro. Un enorme archivio contenente dati presumibilmente trafugati da 500 milioni di profili Linkedin è stato infatti messo in vendita online, con altri 2 milioni di record esibiti come campione di prova di autenticità dall'autore del post che ne ha dato l’annuncio su un popolare forum di hacking.

Nicola Bernardi

(Nella foto: Nicola Bernardi, presidente di Federprivacy)

Dato che il numero dei profili coinvolti si avvicina alla quasi totalità degli utenti di Linkedin, che a livello mondiale conta oltre 600 milioni di iscritti, il timore adesso è che anche buona parte dei 21 milioni di utenti italiani sia coinvolto da questa maxi violazione, in cui le informazioni sottratte comprenderebbero gli username, i nominativi completi, gli indirizzi email, i numeri di telefono, il sesso, i collegamenti ad altri profili Linkedin e a quelli di altri social media, nonché i titoli professionali e le altre informazioni relative alle proprie attività che generalmente gli utenti caricano sul proprio profilo su Linkedin. Non risulterebbero invece essere stati sottratti dati di carte di credito o altre informazioni per altri strumenti di pagamento.

Secondo quanto riferisce il sito di sicurezza informatica Cyber News, nel forum di hacking è possibile scaricare per soli due dollari i campioni di database messi a disposizione per verificarne il contenuto e la sua qualità, mentre per entrare invece in possesso del database integrale da mezzo miliardo di utenti pare che le cifre richieste siano molto più alte e con diversi zeri, presumibilmente in bitcoin per mantenere l’anonimato.

Quello che allo stato attuale non è ancora chiaro, è se gli archivi di Linkedin che sono stati messi all’asta online siano aggiornati oppure se si tratti di dati relativi a precedenti violazioni subìte in passato dal noto social media professionale.

Maxi violazione sui dati dei profili degli utenti di Linkedin

Sta di fatto che alle richieste di chiarimento inviate dagli esperti di Cyber News, al momento Linkedin non ha fornito risposta, e neppure risulta che agli utenti italiani sia ancora pervenuta una segnalazione del data breach come previsto dall’art.34 del Gdpr quando è presente un rischio elevato per i diritti e le libertà delle persone fisiche.

Ad ogni modo il consiglio è che fin da subito gli utenti di Linkedin non esitino a cambiare la propria password del proprio profilo e che, se vi hanno immesso il proprio numero di telefono, prestino particolare attenzione a possibili anomalie sui propri cellulari per difendersi da possibili attacchi di “SIM swapping” che potrebbero arrivare da malintenzionati, e lo stesso vale per email di spear phishing, che per assurdo potrebbero arrivare proprio da un mittente che si spaccia sotto mentite spoglie per Linkedin, magari con una finta comunicazione di sicurezza proprio in relazione al data breach.

Altre pericolose minacce riguardanti in particolare la privacy degli utenti professionali derivanti da un illecito uso dei dati contenuti negli archivi rubati, possono scaturire da furti d’identità, tecniche di social engineering, e la sempre più diffusa BEC (Business Email Compromise), ovvero quella truffa in cui il criminale invia una mail ad una segretaria o ad un responsabile amministrativo di una società fingendosi di essere l'amministratore delegato o un top manager che richiede di effettuare un bonifico urgente ad un certo fornitore, indicando però un iban su cui trasferire i fondi riconducibile ad una organizzazione criminale, stratagemma che può rivelarsi particolarmente efficace nei confronti di molti utenti di Linkedin, i quali sono soliti indicare tutti i dettagli necessari al malintenzionato, come l'azienda di appartenenza, il ruolo ricoperto, i suoi contatti di lavoro, e anche quali sono i suoi colleghi.

In attesa di vedere gli sviluppi della vicenda e che l’Autorità per la protezione dei dati personali faccia luce sull’accaduto, è raccomandata quindi la massima allerta per tutti gli utenti di Linkedin, prestando molta cautela sui messaggi e sulle email che ricevono, anche quando sembrano provenire da mittenti affidabili, o addirittura da un proprio responsabile.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Piattaforma online di food delivery colpita da attacco hacker: trafugati i dati personali di 21 milioni di utenti
Next Telepass, sanzione da 2 milioni di euro per non aver fornito informazioni adeguate sul trattamento dei dati degli utenti

Il Gdpr per far decollare economia digitale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy