LinkedIn: ogromny wyciek danych: 500 milionów kont. Warto zreflektować, co udostępniamy

Niedawno wyciekła ogromna ilość danych z Facebooka, która dotyczyła aż 533 milionów użytkowników, w tym 2,6 mln Polaków. Teraz na popularnym portalu LinkedIn, służącym m.in. do poszukiwania pracy, przydarzył się incydent na podobną skalę. Wyciekły informacje z 500 milionów kont, które teraz są oferowane na sprzedaż.

Jest to okazja, aby przemyśleć, jakie dane udostępniamy publicznie oraz co mogą z nimi niepożądane osoby zrobić.

Osobnik, który zdobył dane i stara się je sprzedać, aby uwiarygodnić ten fakt, udostępnił dane 2 milionów osób. Żąda za nie kwoty minimum czterocyfrowej. O całym zdarzeniu poinformował portal Cyber News. Incydentowi przyjrzał się już LinkedIn (będący własnością Microsoftu) i ze wstępnej analizy wynika, że wśród danych znajdują się tam również informacje z innych portali. Niemniej jednak LinkedIn nie zaprzecza, że doszło do wycieku.

Dane zostały przechwycone ze strony techniką tzw. scrapingu, czyli masowego skanowania informacji, a następnie importowania ich do arkusza (np. Excel czy Arkusze Google). Znajdowały się tam między innymi adresy email, numery telefonów, linki do innych profili społecznościowych czy też informacje o zatrudnieniu.

Wnioski są przynajmniej dwa - jeden optymistyczny, a drugi niezbyt. Szczęśliwym trafem dane, które wyciekły nie zawierały żadnych informacji utajnionych przez użytkowników. Wszystko, co wyszło na zewnątrz było danymi publicznymi, widocznymi dla każdego na profilu poszczególnej osoby. To ta dobra wiadomość. Zła jest natomiast taka, że taki zestaw danych z 500 milionów kont (nawet jeśli realnie z LinkedIn jest ich nieco mniej) może być łakomym kąskiem, za który sprawca wycieku może zainkasować niemałe pieniądze. I na tym konsekwencje takiej sprzedaży się nie kończą.

Indywidualne konta same w sobie nie liczą się zbyt mocno, ale jeśli tworzą jakiś większy zestaw danych - są niezwykle cenne.

Nabywcy takiej kolekcji informacji są w stanie wykorzystać ją w różnych celach. Mogą oni w ten sposób uzyskać informacje o nawykach odbiorców i profilować pod nich reklamy oraz produkty. Może na tym skorzystać bardzo wiele branż i dlatego ich cena bywa niezwykle wysoka. Jak podała w roku 2012 firma Experian, wartość pojedynczego adresu email dla danej marki może wynosić aż 89 dolarów amerykańskich.

Tego typu dane można również wykorzystać w celach politycznych, a głośnym skandalem tego typu była afera Cambridge Analytica.

Firma ta wykorzystała informacje dotyczące 87 milionów użytkowników, aby precyzyjnie kierować przekaz wyborczy w trakcie wyborów na prezydenta USA oraz w referendum nt. Brexit w 2016 r.

Innymi niepożądanymi skutkami takiego masowego wycieku danych jest m.in. stalking, hakowanie i próby przejęcia kont, czy też szantażu (tzw. ataki typu ransomware). Może także dojść do tego, że różne zbitki informacji dotyczące poszczególnych użytkowników posłużą do tzw. ataków phishingowych, czyli wysyłaniu wiadomości z podszywaniem się pod kogoś z grona znajomych tak, aby wymusić dalszą kradzież czy to danych (lub tożsamości), czy nawet środków pieniężnych.

Warto w tym miejscu podkreślić, że zawsze warto jest zabezpieczać dostęp do każdego ważnego dla nas portalu i serwisu internetowego tzw. uwierzytelnianiem dwuskładnikowym (zwanym czasem dwuetapowym).

Jedną z najczęstszych form jest specjalna aplikacja weryfikacyjna (np. Google Authenticator albo Microsoft Authenticator). Gdy logujemy się do jakiegoś serwisu, poprosi nas dodatkowo o wpisanie generowanego co 30 sekund unikatowego kodu. Ten kod jest przypisany wyłącznie do urządzenia (np. smartfona), na którym mamy taką aplikację. Nikt bez wyrwania nam telefonu z ręki siłą nie zrobi tego za nas.

Fortunnie dla ofiar wycieku, wszystkie informacje, jakie zostały udostępnione były tymi, jakie użytkownicy LinkedIn upublicznili z własnej woli.

Przypadek LinkedIn jest trudny do oceny, czy aby na pewno użytkownicy nie udostępnili tych danych zbyt dużo. Wszystko z racji tego, do czego ten serwis służy - czyli budowania sieci profesjonalnych kontaktów i jako łącznika w rekrutacji.

Być może dlatego portal ten stał się kąskiem dla osoby odpowiedzialnej za "wyciek". Większości osób zależy tam na jak największej widoczności, aby mogli się odezwać do nich rekruterzy albo być wypatrzonymi przez inne osoby z branży. Ograniczanie widoczności informacji mogłoby mieć niekiedy negatywne skutki.

W przypadku LinkedIn ciężko jest ocenić, czy akurat część osób nie udostępniła tych danych zbyt dużo, ale warto się zastanowić, czy nie robimy tego na innych portalach - takich, które akurat nie służą do tego, by ktoś zaoferował nam nową pracę.

Nie warto jednak na każdym portalu czy serwisie społecznościowym upubliczniać adresu email, czy numeru telefonu. Chyba, że wiemy, jakie mogą być tego konsekwencje - np. nękanie i stalking. Zasada ograniczonego zaufania ma tutaj swoje uzasadnienie. Tym bardziej, gdy czasem nawet otwieranie przyjmowania wiadomości prywatnych od nieznajomych może mieć fatalne skutki.

W roku 2017 John Rayne Rivello wysłał świadomie choremu na epilepsję dziennikarzowi Kurtowi Eichenwaldowi animowane obrazki, który zawierały światła stroboskopowe (mogące wywołać atak padaczki). Sprawca został oskarżony za "napaść z użyciem niebezpiecznego narzędzia".

Pytaniem, jakie na koniec trzeba sobie zadać jest: jak ograniczyć możliwość tego, że nasze dane będą masowo zebrane wraz z milionami innych użytkowników? My oprócz ograniczenia widoczności naszych danych nic nie możemy. Ale jak się okazuje, masowego zczytywania (scrapingu) danych nie mogą blokować także portale - mogą co najwyżej tę praktykę utrudniać. Niestety jak zarządził Sąd Apelacyjny USA dla Dziewiątego Okręgu w 2016 r. LinkedIn nie może zakazać praktyk masowego zczytywania danych do arkuszy - pomimo, że narusza to zasady korzystania z serwisu.