Linkedin, in vendita dati di 21 milioni di italiani: perché il rischio truffa ora è massimo

 

da: https://www.agendadigitale.eu/ - di Pierguido Iezzi   Swascan Cybersecurity Strategy Director & Co Founder

Indirizzi e-mail, numeri di telefono, link ad altri profili di social media e dettagli professionali. Molto probabilmente non si tratta di una violazione diretta di server ma di un caso di scraping di credenziali, come per Facebook. Resta una situazione grave e le soluzioni di base sembrano ancora sfuggirci

Quando decidiamo di iscriverci a quella che di fatto è una “vetrina” sul mondo sul mondo del lavoro, consciamente o meno, cediamo e affidiamo parte delle nostre informazioni sensibili a terze parti. È tutto parte di quel processo di “socializzazione” che ogni aspetto della nostra vita sembra aver irrimediabilmente imboccato.

Le responsabilità

Le questioni che sorgono nello specifico da questo caso sono due: in primo luogo il lungo dibattuto tema della responsabilità oggettiva di proteggere il dato da parte di chi lo gestisce (in questo caso LinkedIn). Come poteva agire per evitare questo apparente furto d’informazioni, che contromisure avrebbe dovuto adottare. Analoghe considerazioni si possono fare per Facebook.

Profili Linkedin esposti, i rischi cyber security

Dal punto di vista strettamente cyber security, invece, quello che salta all’occhio è la mole di dati che sembrano essere stati messi in vendita.

Di per sé il data scraping non è una metodologia di raccolta di credenziali particolarmente complessa, anzi a dirla tutta è molto semplice, tanto che raccogliere alcune centinaia di record come quelli che si vocifera essere in vendita non richiede più di qualche minuto. Ciò che colpisce di più è come i criminal hacker siano riusciti a costruire un database così ampio ammassando i dati di tre quarti degli utenti iscritti alla piattaforma…

I risvolti della vicenda – sempre che sia confermata la veridicità del database, che stiamo analizzando, e a breve pubblicheremo un’analisi dettagliata – potrebbero avere caratteri simili a tanti episodi che abbiamo osservato negli ultimi anni: dati che vengono venduti a criminal hacker terzi per massicce campagne di phishing, magari di altro profilo su manager (attacchi BEC).

Un metodo evergreen di prendere di mira chiunque utilizzi una casella postale che – anche grazie alle peculiari condizioni che stiamo affrontando – continua a riscuotere un “successo” incredibile tra i criminal hacker. Anche per gli impatti possono valere le stesse considerazioni del caso Facebook.

In conclusione

Una riflessione conclusiva generale, sullo scenario verso cui sempre più stiamo andando.

La quantità di informazioni che ci “assale” durante il giorno lavorativo – ora principalmente via digitale – è gioco forza analizzata con quello che Maslow chiamava “pensiero veloce”. Passare al setaccio ogni singola email è sicuramente l’approccio giusto da un punto di vista teorico ma quando le richieste arrivano una dietro l’altra senza soluzione di continuità, il setaccio viene messo da parte.

La verità è che gli uomini cadono preda delle email di phishing non perché siano stupidi o pigri, o perché non applicano le informazioni fornite attraverso i corsi di aggiornamento. Ma perché sono troppo presi dai task aperti e dalle mille altre attività che contraddistinguono ogni giornata lavorativa e non.

Questa “debolezza” molto umana è ciò che cercano i criminal hacker ed è ciò che dà adito a casi come quelli di LinkedIn: la ricerca di sempre più bersagli da colpire.

Siamo in una fase in cui casi come questo tendono a diventare sempre più comuni. Le soluzioni al problema sono ancora da trovare, ma passano probabilmente da una maggiore consapevolezza (educazione) degli utenti contro il rischio truffa, che di converso tenderanno a diventare sempre più sofisticate (si parla già di quelle con deepfake); ma anche una maggiore responsabilità delle piattaforme (anche attraverso il peso di norme e autorità) potrà giocare un ruolo positivo.

Ad esempio: è emerso nei giorni scorsi che Facebook era al corrente già dal 2017 del rischio scraping ma ha scelto di ignorare il problema, fino al 2019 quando ha chiuso la porta a questi strumenti; proprio poco dopo la cattura in massa di quei dati che ora si trovano disponibili online pubblicamente.