Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • 'Datalek' bij LinkedIn treft 92% van de gebruikers: gegevens van 700 miljoen personen op straat

    'Datalek' bij LinkedIn treft 92% van de gebruikers: gegevens van 700 miljoen personen op straat

    Gegevens van 700 miljoen LinkedIn-gebruikers – waaronder namen, mailadressen, telefoonnummers, woonadressen en salarisindicaties – worden aangeboden op een populair hackersforum. Het betreft gegevens van ruim 92% van het totale aantal gebruikers van het platform. Wat is er gebeurd en wat moet je als LinkedIn-gebruiker weten?

    Op hackersforum RaidForums biedt een gebruiker met de naam 'TomLiner' sinds 22 juni de gegevens van 700 miljoen LinkedIn-accounts aan, aldus PrivacySharks afgelopen weekend. Om deze bewering kracht bij te zetten, werd een proefmonster met gegevens van één miljoen gebruikers vrij ter inzage online gezet, zodat potentiële kopers zelf kunnen verifiëren of het inderdaad om bruikbare, actuele persoonsgegegevens gaat alvorens tot een eventuele aankoop over te gaan.

    Geen datalek: gegevens buitgemaakt door 'scraping'

    Onderzoekers van PrivacySharks hebben bevestigd dat de data up-to-date is en dat er inderdaad talloze persoonsgegevens in de dataset staan. Daarmee is deze set dus nog een stuk groter dan een vergelijkbare dataset die in april werd aangeboden: deze bevatte 'slechts' gegevens van 500 miljoen gebruikers.

    Een voorbeeld van de aangeboden gegevens
    9to5mac.com
    Een voorbeeld van de aangeboden gegevens

    Maar is er ook echt sprake van een datalek? Dat is wellicht voer voor een semantische discussie, maar strikt genomen is het niet echt een datalek in de traditionele zin van het woord. Het gaat namelijk om openbare gegevens die bij elkaar zijn geschraapt door middel van – de naam geeft het al een beetje weg – 'scraping', kort gezegd een techniek om geautomatiseerd allerlei (openbare) gegevens te verzamelen en te bundelen.

    Het is dus niet zo alsof een hacker zich via een achterdeurtje of gebrekkige beveiliging ongeoorloofd toegang tot de gesloten systemen van LinkedIn heeft weten te verschaffen, het gaat om gegevens die in principe al openbaar vindbaar waren. Maar door deze gegevens te bundelen én in een enorme bulk aan te bieden, gaat het tóch om waardevolle informatie voor kwaadwillenden: met deze informatie wordt het plegen van fraude in de vorm van phishingmails, misleidende telefoontjes en valse sms-berichten bijvoorbeeld een stuk makkelijker, omdat het bedrog met deze informatie op geloofwaardige en overtuigende wijze vorm kan worden gegeven.

    PrivacySharks vroeg LinkedIn om een reactie. De oorspronkelijke – Engelstalige – reactie volgt hieronder, gevolgd door de Nederlandse vertaling.

    Reactie LinkedIn op aangeboden bestand met data van 700 miljoen gebruikers

    'While we’re still investigating this issue, our initial analysis indicates that the dataset includes information scraped from LinkedIn as well as information obtained from other sources. This was not a LinkedIn data breach and our investigation has determined that no private LinkedIn member data was exposed. Scraping data from LinkedIn is a violation of our Terms of Service and we are constantly working to ensure our members’ privacy is protected.'

     

    Nederlandse vertaling

     

    'Hoewel we de kwestie momenteel nog in onderzoek hebben, wijst een oriënterend onderzoek uit dat de dataset informatie bevat die door middel van 'scraping' van LinkedIn is gehaald, gecombineerd met informatie afkomstig uit andere bronnen. Dit is geen LinkedIn-datalek en ons onderzoek wees uit dat geen privégegegevens van LinkedIn-gebruikers op straat zijn komen te liggen. Het 'scraping' van LinkedIn-data is volgens onze Algemene Voorwaarden echter niet toegestaan, en we werken er continu aan om de privacy van onze leden te waarborgen en te beschermen.'

    Welke gegevens zijn er buitgemaakt?

    Het gaat om de volgende gegevens:

    • Namen
    • Geslacht
    • E-mailadressen
    • Woonadressen
    • Telefoonnummers
    • Locatiegegevens
    • Salarisindicaties
    • LinkedIn-gebruikersnamen
    • Links naar LinkedIn-profielen
    • Het unieke LinkedIn-userID
    • Het aantal LinkedIn-connecties
    • Gegevens over je persoonlijke én professionele achtergrond / ervaring

    Wachtwoorden zijn niet opgenomen in het document.

    Wat zijn de potentiële gevaren en waar moet je op letten?

    We zeiden het al: hoewel het in principe om openbare gegevens gaat, is het met name de combinatie van de verschillende persoonsgegevens die waardevol zijn voor oplichters en andere kwaadwillenden, al helemaal in de vorm van een bronbestand met gegevens van 700 miljoen gebruikers.

    Met deze informatie wordt het immers een stuk makkelijker om phishingmails op geloofwaardige, overtuigende wijze vorm te geven. Denk bijvoorbeeld aan spookfacturen waar telefoonnummers, naam- en adresgegevens in staan: hoe gedetailleerder dergelijke mails zijn, hoe groter de kans is dat ze als betrouwbaar worden beschouwd, en al helemaal als de genoemde informatie daadwerkelijk klopt.

    Aan dat principe ligt een stukje social engineering ten grondslag, waarbij oplichters door manipulatieve tactieken proberen om de zwakste schakel in de keten – de mens – ertoe te bewegen om bepaalde handelingen te verrichten. In gevallen waarin persoonlijke informatie wordt gebruikt om geloofwaardig over te komen, doen kwaadwillenden een beroep op jouw vertrouwen. Het doel is uiteindelijk om vertrouwelijke informatie buit te maken, informatie waar ze in theorie veel (financiële) schade mee kunnen veroorzaken.

    Wees de komende tijd dus extra alert op verdachte sms'jes, phishingmails en telefoontjes, en laat je nooit zomaar van de wijs brengen, ook als iemand over persoonlijke informatie beschikt.

    Bron: 9to5mac.com / PrivacySharks.com

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant