News
O LinkedIn refere que os dados pessoais de 700 milhões de utilizadores – a quase totalidade da base de utilizadores da rede social – que está à venda na dark web não é resultado de um data breach
04/07/2021
Os dados de cerca de 700 milhões de utilizadores do LinkedIn estão à venda na dark web. Segundo o site RestorePrivacy, o data leak – que corresponde a 92% dos 756 milhões de utilizadores da rede social – inclui números de telefone, endereços físicos e dados de geolocalização. De acordo com o mesmo site, foi publicitada a venda de dados de 700 milhões de utilizadores do LinkedIn, sendo que foram disponibilizados os dados de um milhão desses utilizadores como prova da existência dos dados. O RestorePrivacy examinou a amostra e refere que inclui os emails, nomes, números de telefone, endereços físicos, dados de geolocalização, username e URL, experiência pessoal e profissional, género e dados sobre outras contas noutras redes sociais. No entanto, não foram encontradas credenciais de login ou dados financeiros na amostra disponibilizada. Ao site em questão, o LinkedIn informou que está a investigar os alegados dados do LinkedIn e que não é o resultado de um data breach, nem que os dados privados dos utilizadores da rede social foram expostos. “A nossa investigação inicial descobriu que os dados foram recolhidos no LinkedIn e noutros vários sites”, diz a rede social. Em nota enviada às redações, Oded Vanunu, Head of Products Vulnerability da Check Point Software Technologies, comenta que “este caso é semelhante ao que já reportámos no TikTok, quando conseguimos ‘consultar’ a API da plataforma e construir uma base de dados dos utilizadores. Com o LinkedIn, parece-nos que os hackers obtiveram os dados hackeando a API e, assim, recolhendo informação que as pessoas colocaram no site. Estes incidentes mostram que a segurança da API é importantíssima quando desenvolvemos a lógica e infraestrutura de uma aplicação. As aplicações cloud são desenvolvidas essencialmente numa lógica de aplicação central que está ‘conectada’ a muitas API que fornecem os dados através da aplicação. Se as API não são seguras, isto expõe-nas a riscos, especialmente com a vulnerabilidade do código API ou chamadas ilimitadas de API. Isto pode causar uma fuga de dados massiva, como vimos nos casos que relatámos e neste caso específico do LinkedIn”. |