700 mi de registros “do Linkedin” à venda na dark web

Rede social afirma que dados são de vazamento antigo combinados com os de outras empresas
Paulo Brito
29/06/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Um usuário de um fórum frequentado por cibercriminosos está anunciando para venda um arquivo contendo 700 milhões de registros de pessoas, que segundo ele pertencem ao Linkedin. A repórter Madeleine Hobson, do portal Privacy Shark consultou o Linkedin, que respondeu não haver vazamento identificado pela rede social. Para comprovar a posse dos dados, o vendedor publicou um lote de um milhão de dados, que incluem a faixa salarial das pessoas.

Os dados foram publicados no fórum uma semana atrás mas somente hoje foram notados. Na sua resposta ao Privacy Shark, a diretora de RP do Linkedin afirma que o assunto está sendo investigado, que há dados obtidos no Linkedin por meio de scraping e também dados que vieram de outras fontes. A executiva acrescenta que não houve vazamento do Linkedin e que nenhum dos membros da rede social foi exposto. Naturalmente ela está se referindo à amostra que foi disponibilizada online pelo cibercriminoso.

Oded Vanunu, head de Vulnerabilidades de Produtos da Check Point Software Technologies comenta: “Este caso é semelhante ao que reportamos anteriormente sobre o TikTok, sobre o qual fomos capazes de ‘consultar’ a API da plataforma do TikTok e desenvolver uma base de dados dos seus usuários. No caso do LinkedIn, parece que os hackers obtiveram os dados invadindo a API do LinkedIn para reunir as informações que as pessoas colocaram no site.”

“Esses incidentes mostram que a segurança da API é muito importante quando desenvolvemos a lógica e a infraestrutura de um aplicativo. Os aplicativos em nuvem são desenvolvidos essencialmente com a lógica do aplicativo central que está ‘conectada’ a muitas APIs que fornecem os dados por meio do aplicativo. Se as APIs não forem seguras, isso as expõe a riscos, especialmente com a vulnerabilidade do código API ou chamadas API ilimitadas. Isso pode causar um grande vazamento de base de dados, como vimos nos casos que relatamos e neste caso específico do LinkedIn.”

Veja isso
Dados de 500 milhões de contas do LinkedIn estão à venda; site nega invasão
Hacker russo é condenado por invadir Dropbox e LinkedIn

Houve uma invasão ao Linkedin, mas em 5 de junho de 2012. As senhas de quase 6,5 milhões de contas de usuário foram roubadas pelo hacker russo Yevgeniy Nikulin, que foi condenado pelo crime e sentenciado a 88 meses de prisão após ter sido preso numa viagem a Praga. Em maio de 2016, o LinkedIn descobriu mais 100 milhões de endereços de e-mail e senhas que foram comprometidos na mesma violação de 2012.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest