LinkedIn: ogromny wyciek danych: 500 milionów kont. Warto zreflektować, co udostępniamy

LinkedIn: ogromny wyciek danych: 500 milionów kont. Warto zreflektować, co udostępniamy09.04.2021 13:29
fot. Peter Macdiarmid/Getty Images for Somerset House

Niedawno wyciekła ogromna ilość danych z Facebooka, która dotyczyła aż 533 milionów użytkowników, w tym 2,6 mln Polaków. Teraz na popularnym portalu LinkedIn, służącym m.in. do poszukiwania pracy, przydarzył się incydent na podobną skalę. Wyciekły informacje z 500 milionów kont, które teraz są oferowane na sprzedaż.

Jest to okazja, aby przemyśleć, jakie dane udostępniamy publicznie oraz co mogą z nimi niepożądane osoby zrobić.

Osobnik, który zdobył dane i stara się je sprzedać, aby uwiarygodnić ten fakt, udostępnił dane 2 milionów osób. Żąda za nie kwoty minimum czterocyfrowej. O całym zdarzeniu poinformował portal Cyber News. Incydentowi przyjrzał się już LinkedIn (będący własnością Microsoftu) i ze wstępnej analizy wynika, że wśród danych znajdują się tam również informacje z innych portali. Niemniej jednak LinkedIn nie zaprzecza, że doszło do wycieku.

Dane zostały przechwycone ze strony techniką tzw. scrapingu, czyli masowego skanowania informacji, a następnie importowania ich do arkusza (np. Excel czy Arkusze Google). Znajdowały się tam między innymi adresy email, numery telefonów, linki do innych profili społecznościowych czy też informacje o zatrudnieniu.

Wnioski są przynajmniej dwa - jeden optymistyczny, a drugi niezbyt. Szczęśliwym trafem dane, które wyciekły nie zawierały żadnych informacji utajnionych przez użytkowników. Wszystko, co wyszło na zewnątrz było danymi publicznymi, widocznymi dla każdego na profilu poszczególnej osoby. To ta dobra wiadomość. Zła jest natomiast taka, że taki zestaw danych z 500 milionów kont (nawet jeśli realnie z LinkedIn jest ich nieco mniej) może być łakomym kąskiem, za który sprawca wycieku może zainkasować niemałe pieniądze. I na tym konsekwencje takiej sprzedaży się nie kończą.

Indywidualne konta same w sobie nie liczą się zbyt mocno, ale jeśli tworzą jakiś większy zestaw danych - są niezwykle cenne.

Co się robi z naszymi danymi i czemu są cenne

Nabywcy takiej kolekcji informacji są w stanie wykorzystać ją w różnych celach. Mogą oni w ten sposób uzyskać informacje o nawykach odbiorców i profilować pod nich reklamy oraz produkty. Może na tym skorzystać bardzo wiele branż i dlatego ich cena bywa niezwykle wysoka. Jak podała w roku 2012 firma Experian, wartość pojedynczego adresu email dla danej marki może wynosić aż 89 dolarów amerykańskich.

Tego typu dane można również wykorzystać w celach politycznych, a głośnym skandalem tego typu była afera Cambridge Analytica.

Firma ta wykorzystała informacje dotyczące 87 milionów użytkowników, aby precyzyjnie kierować przekaz wyborczy w trakcie wyborów na prezydenta USA oraz w referendum nt. Brexit w 2016 r.

Innymi niepożądanymi skutkami takiego masowego wycieku danych jest m.in. stalking, hakowanie i próby przejęcia kont, czy też szantażu (tzw. ataki typu ransomware). Może także dojść do tego, że różne zbitki informacji dotyczące poszczególnych użytkowników posłużą do tzw. ataków phishingowych, czyli wysyłaniu wiadomości z podszywaniem się pod kogoś z grona znajomych tak, aby wymusić dalszą kradzież czy to danych (lub tożsamości), czy nawet środków pieniężnych.

Warto w tym miejscu podkreślić, że zawsze warto jest zabezpieczać dostęp do każdego ważnego dla nas portalu i serwisu internetowego tzw. uwierzytelnianiem dwuskładnikowym (zwanym czasem dwuetapowym).

Jedną z najczęstszych form jest specjalna aplikacja weryfikacyjna (np. Google Authenticator albo Microsoft Authenticator). Gdy logujemy się do jakiegoś serwisu, poprosi nas dodatkowo o wpisanie generowanego co 30 sekund unikatowego kodu. Ten kod jest przypisany wyłącznie do urządzenia (np. smartfona), na którym mamy taką aplikację. Nikt bez wyrwania nam telefonu z ręki siłą nie zrobi tego za nas.

Uważaj, co upubliczniasz w internecie

Fortunnie dla ofiar wycieku, wszystkie informacje, jakie zostały udostępnione były tymi, jakie użytkownicy LinkedIn upublicznili z własnej woli.

Przypadek LinkedIn jest trudny do oceny, czy aby na pewno użytkownicy nie udostępnili tych danych zbyt dużo. Wszystko z racji tego, do czego ten serwis służy - czyli budowania sieci profesjonalnych kontaktów i jako łącznika w rekrutacji.

Być może dlatego portal ten stał się kąskiem dla osoby odpowiedzialnej za "wyciek". Większości osób zależy tam na jak największej widoczności, aby mogli się odezwać do nich rekruterzy albo być wypatrzonymi przez inne osoby z branży. Ograniczanie widoczności informacji mogłoby mieć niekiedy negatywne skutki.

W przypadku LinkedIn ciężko jest ocenić, czy akurat część osób nie udostępniła tych danych zbyt dużo, ale warto się zastanowić, czy nie robimy tego na innych portalach - takich, które akurat nie służą do tego, by ktoś zaoferował nam nową pracę.

Nie warto jednak na każdym portalu czy serwisie społecznościowym upubliczniać adresu email, czy numeru telefonu. Chyba, że wiemy, jakie mogą być tego konsekwencje - np. nękanie i stalking. Zasada ograniczonego zaufania ma tutaj swoje uzasadnienie. Tym bardziej, gdy czasem nawet otwieranie przyjmowania wiadomości prywatnych od nieznajomych może mieć fatalne skutki.

W roku 2017 John Rayne Rivello wysłał świadomie choremu na epilepsję dziennikarzowi Kurtowi Eichenwaldowi animowane obrazki, który zawierały światła stroboskopowe (mogące wywołać atak padaczki). Sprawca został oskarżony za "napaść z użyciem niebezpiecznego narzędzia".

Pytaniem, jakie na koniec trzeba sobie zadać jest: jak ograniczyć możliwość tego, że nasze dane będą masowo zebrane wraz z milionami innych użytkowników? My oprócz ograniczenia widoczności naszych danych nic nie możemy. Ale jak się okazuje, masowego zczytywania (scrapingu) danych nie mogą blokować także portale - mogą co najwyżej tę praktykę utrudniać. Niestety jak zarządził Sąd Apelacyjny USA dla Dziewiątego Okręgu w 2016 r. LinkedIn nie może zakazać praktyk masowego zczytywania danych do arkuszy - pomimo, że narusza to zasady korzystania z serwisu.

Aby ograniczyć widoczność naszych danych na LinkedIn należy kliknąć na ikonę "Ja" (jest tam także nasze zdjęcie) w prawym górnym rogu strony, a następnie z rozwijanej listy wybrać "Ustawienia i prywatność". Z nowego ekranu opcji trzeba wybrać zakładkę "Widoczność" i tam możemy zdecydować, w jaki sposób nasze dane będą widoczne na zewnątrz.

Jakub Krawczyński

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na