Dados de 700 milhões de usuários do LinkedIn estão à venda na dark web
Base inclui informações públicas de usuários, mas não informações como cartão de crédito; LinkedIn nega violação de dados
Base inclui informações públicas de usuários, mas não informações como cartão de crédito; LinkedIn nega violação de dados
Dados de 700 milhões de usuários do LinkedIn estão à venda na dark web. Pelo menos é o que relata a empresa de segurança digital RestorePrivacy. Os dados não incluem senhas ou números de cartões de crédito. Por outro lado, as informações disponibilizadas podem ser suficientes para facilitar ações maliciosas.
A RestorePrivacy explica que, em 22 de junho, um anúncio de venda de dados de 700 milhões de usuários do LinkedIn apareceu em um fórum na dark web — atualmente, a rede social tem 756 milhões de usuários ativos.
No anúncio, o vendedor postou uma amostra com registros de 1 milhão de usuários. Ao examinar o arquivo, a empresa constatou que a base inclui dados como:
Uma análise feita pela empresa por meio do cruzamento de dados da amostra com informações públicas dos perfis indica que as informações à venda são autênticas, vinculadas a usuários reais e incluem dados atualizados em 2020 ou 2021.
Como já informado, senhas, números de cartões de crédito e outros dados sensíveis não compõem a base. Mesmo assim, o problema preocupa. As informações divulgadas podem ser usadas para montagem de perfis falsos de usuários em redes sociais, criação de contas fraudulentas em serviços financeiros, ações de engenharia social e assim por diante.
Uma base de dados tão grande nos faz pensar em ataque hacker aos sistemas do LinkedIn, mas, até o momento, não há nenhum indício de que isso tenha acontecido. Procurado pela RestorePrivacy, o vendedor dos dados informou que eles foram extraídos a partir da exploração de uma API da rede social.
Isso significa que os dados foram coletados por meio de data scraping, isto é, de uma varredura que captura dados públicos disponíveis em uma plataforma.
Não é a primeira vez que o LinkedIn enfrenta um problema do tipo. Em abril, dados de 500 milhões de usuários da rede social foram expostos também por meio de data scraping.
Em nota divulgada nesta terça-feira (29), o LinkedIn negou ter sofrido uma violação de dados. A companhia também informou que a sua investigação inicial aponta que os 700 milhões de registros foram obtidos de sua plataforma e outros sites, mas complementados com os dados divulgados indevidamente em abril.
Qualquer uso indevido de dados de nossos membros, como scraping, violam as condições de uso do LinkedIn. Quando alguém tenta obter dados de membros e usá-los para fins com os quais o LinkedIn e seus usuários não concordam, trabalhamos para impedi-los e responsabilizá-los.
Em nota enviada ao Tecnoblog, o serviço também informou que “não tem uma API que possa fornecer esses tipos de dados. Com base na investigação atual, foi confirmado por meio de uma análise de amostra que vários campos específicos, como número de telefone, gênero, salário e endereço físico, não vieram do LinkedIn”.
Atualizado em 30 de junho de 2021 às 17:50 para inserção da nota recebida pelo Tecnoblog.