Wiemy, ile nasze dane z LinkedIn są warte dla hakerów
Dane 700 milionów użytkowników serwisu LinkedIn trafiły na sprzedaż. To już kolejny taki przypadek, a sposób pozyskania danych i cena za całą bazę powinny podnieść niejedną brew.
LinkedIn raczej nie zaliczy 2021 roku do udanych. Najpierw w kwietniu na sprzedaż wystawiono dane 500 milionów użytkowników serwisu, o czym pisały największe media na świecie, w tym CNN. Zaledwie dwa miesiące później pojawiła się oferta zakupu paczki zawierającej dane z 700 milionów kont, czyli 92% użytkowników serwisu LinkedIn. Cena? Zaledwie 5000 dolarów.
Paczka oferowana na sprzedaż zawiera szereg potencjalnie wrażliwych danych:
- adres email,
- imię i nazwisko,
- numer telefonu,
- adres zamieszkania,
- dane geolokalizacji,
- login użytkownika i adres jego profilu,
- doświadczenie zawodowe i wykształcenie,
- płeć,
- nazwy użytkowników połączonych mediów społecznościowych.
Jak podkreśla LinkedIn w oficjalnym oświadczeniu, żadne prywatne dane użytkowników nie zostały skradzione i nie miało miejsca naruszenie bezpieczeństwa. Jak więc tak szczegółowe informacje trafiły w ręce hakerów? Cóż, były publicznie dostępne i to sami użytkownicy je opublikowali.
Serwis RestorePrivacy przeprowadził dochodzenie, z którego wynika, że hakerzy zdrapali (ang. scraping) dane z LinkedIn wykorzystując jego API, czyli legalny kanał służący do komunikacji np. z zewnętrznymi aplikacjami czy wtyczkami na stronach. Tak otrzymane dane zostały wzbogacone informacjami z innych źródeł. Autorzy z RestorePrivacy skontaktowali się ze sprzedającym i poznali cenę wynoszącą 5000 dolarów.
Kwota 5000 dolarów za tak gigantyczną bazę może wydawać się zadziwiająco niska. Nie odbiega jednak znacząco od realiów rynku – według serwisu CyberNews kwietniowa baza danych z 500 milionów kont została wystawiona na sprzedaż za 7000 dolarów. Ile zatem jesteśmy warci w Internecie? Dokładnie 0,000027 złotego. Jeden grosz wystarczyłby do kupna danych ponad 360 ludzi. Z perspektywy hakerów pojedynczy użytkownik niewiele znaczy, a rosnące możliwości sprzętu i prędkość internetowych łączy sprawiają, że coraz większym zainteresowaniem cieszą się ogromne bazy danych, analizowane i wykorzystywane w zautomatyzowany sposób.
Web scraping – co to jest?
Web scraping to po prostu zbieranie publicznie udostępnionych danych w zautomatyzowany sposób, np. nazwisk i adresów email pracowników uczelni czy tytułów artykułów na portalach newsowych. Im dane są przedstawione w bardziej jednolity sposób (np. według ściśle przestrzeganego szablonu), tym „czystsza” baza danych, wymagająca mniej wysiłku w porządkowaniu informacji.
Web scraping często nie jest mile widziany, bo jest wykorzystywany do wątpliwych etycznie lub wprost nielegalnych przedsięwzięć. Najprostszy przykład szkodliwej działalności to zdrapywanie adresów email, budowanie wielkiej bazy kontaktowej i następnie rozsyłanie spamu (czy raczej sprzedawanie bazy zainteresowanym podmiotom, tak jak w przypadku danych z LinkedIn).
- 8,4 miliarda skradzionych haseł w sieci; to największy ich zbiór w historii
- Ogromny wyciek danych z Facebooka; dotyczy niemal 2,7 mln Polaków
