Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

700 mi de registros “do Linkedin” à venda na dark web

Rede social afirma que dados são de vazamento antigo combinados com os de outras empresas
Paulo Brito
29/06/2021

Um usuário de um fórum frequentado por cibercriminosos está anunciando para venda um arquivo contendo 700 milhões de registros de pessoas, que segundo ele pertencem ao Linkedin. A repórter Madeleine Hobson, do portal Privacy Shark consultou o Linkedin, que respondeu não haver vazamento identificado pela rede social. Para comprovar a posse dos dados, o vendedor publicou um lote de um milhão de dados, que incluem a faixa salarial das pessoas.

Os dados foram publicados no fórum uma semana atrás mas somente hoje foram notados. Na sua resposta ao Privacy Shark, a diretora de RP do Linkedin afirma que o assunto está sendo investigado, que há dados obtidos no Linkedin por meio de scraping e também dados que vieram de outras fontes. A executiva acrescenta que não houve vazamento do Linkedin e que nenhum dos membros da rede social foi exposto. Naturalmente ela está se referindo à amostra que foi disponibilizada online pelo cibercriminoso.

Oded Vanunu, head de Vulnerabilidades de Produtos da Check Point Software Technologies comenta: “Este caso é semelhante ao que reportamos anteriormente sobre o TikTok, sobre o qual fomos capazes de ‘consultar’ a API da plataforma do TikTok e desenvolver uma base de dados dos seus usuários. No caso do LinkedIn, parece que os hackers obtiveram os dados invadindo a API do LinkedIn para reunir as informações que as pessoas colocaram no site.”

“Esses incidentes mostram que a segurança da API é muito importante quando desenvolvemos a lógica e a infraestrutura de um aplicativo. Os aplicativos em nuvem são desenvolvidos essencialmente com a lógica do aplicativo central que está ‘conectada’ a muitas APIs que fornecem os dados por meio do aplicativo. Se as APIs não forem seguras, isso as expõe a riscos, especialmente com a vulnerabilidade do código API ou chamadas API ilimitadas. Isso pode causar um grande vazamento de base de dados, como vimos nos casos que relatamos e neste caso específico do LinkedIn.”

Veja isso
Dados de 500 milhões de contas do LinkedIn estão à venda; site nega invasão
Hacker russo é condenado por invadir Dropbox e LinkedIn

Houve uma invasão ao Linkedin, mas em 5 de junho de 2012. As senhas de quase 6,5 milhões de contas de usuário foram roubadas pelo hacker russo Yevgeniy Nikulin, que foi condenado pelo crime e sentenciado a 88 meses de prisão após ter sido preso numa viagem a Praga. Em maio de 2016, o LinkedIn descobriu mais 100 milhões de endereços de e-mail e senhas que foram comprometidos na mesma violação de 2012.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)