Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • 'Datalek': Persoonsgegevens van 500 miljoen LinkedIn-gebruikers aangeboden, waaronder telefoonnummers en mailadressen

    'Datalek': Persoonsgegevens van 500 miljoen LinkedIn-gebruikers aangeboden, waaronder telefoonnummers en mailadressen

    Enkele dagen na het nieuws over het enorme datalek bij Facebook meldt onderzoeksplatform Cybernews dat zich mogelijk een vergelijkbare situatie aandient in het geval van LinkedIn. Op een hackersforum wordt sinds deze week een dataset met gegevens van 500 miljoen gebruikers te koop aangeboden, waarvan gegevens van twee miljoen accounts bij wijze van sampler zijn vrijgegeven om de authenticiteit van de data mee te kunnen verifiëren. Het gaat onder andere om namen, telefoonnummers en mailadressen. Wat betekent dit voor jou?

    Op 6 april 2021 plaatste een gebruiker van een populair hackersforum een bericht met de mededeling dat hij gegevens van 500 miljoen LinkedIn-accounts te koop aanbiedt. Als voorproefje werden gegevens van twee miljoen mensen vrijgegeven in ruil voor een symbolisch bedrag van circa twee dollar.

    De volledige set is daarentegen te koop voor een niet nader genoemd bedrag in Amerikaanse dollars dat volgens de openingspost in ieder geval uit vier cijfers moet bestaan: dat kan dus alles tussen de 1000-9999 dollar zijn. Volgens Cybernews dient dit bedrag in cryptovaluta - vermoedelijk bitcoin - te worden voldaan.

    update
    clockOval 6 9 apr 2021, 10:45

    Reactie van LinkedIn

    Members trust LinkedIn with their data, and we take action to protect that trust. We have investigated an alleged set of LinkedIn data that has been posted for sale and have determined that it is actually an aggregation of data from a number of websites and companies. It does include publicly viewable member profile data that appears to have been scraped from LinkedIn. This was not a LinkedIn data breach, and no private member account data from LinkedIn was included in what we’ve been able to review.

     

    Any misuse of our members' data, such as scraping, violates LinkedIn terms of service. When anyone tries to take member data and use it for purposes LinkedIn and our members haven't agreed to, we work to stop them and hold them accountable.

     

    Follow this link for additional information about our policies and how we protect member data from misuse.

     

    Bron

    LinkedIn is in het verleden vaker getroffen door datalekken. Afgelopen februari verscheen er bijvoorbeeld nog een dataset met maar liefst 3,2 miljard inloggegevens op een vergelijkbaar hackersforum, waarvan een groot deel inloggegevens voor LinkedIn betrof die in een eerder stadium zijn buitgemaakt.

    Om die reden vroegen enkele gebruikers de topicstarter hoe recent de data in deze nieuw aangeboden dataset precies is. Daarop reageerde degene die de gegevens te koop aanbiedt dat het om recente data gaat en dat het informatie betreft uit 2020.

    De link naar het betreffende forum delen we om voor de hand liggende redenen maar niet (wie echt benieuwd is, heeft de post bovendien vrij vlot gevonden), wel verwijzen we graag naar onderstaande screenshots.

    Welke gegevens zijn er buitgemaakt?

    Volgens Cybernews gaat het om de volgende persoonsgegevens:

    • Je gebruikersnaam op LinkedIn
    • Je volledige naam
    • Je e-mailadres
    • Je telefoonnummer
    • Je geslacht
    • De link naar je LinkedIn-profiel
    • Links naar andere sociale media-profielen
    • Functienamen en overige werkgerelateerde informatie

    Wat zijn de risico's van dit datalek?

    De informatie is buitgemaakt via een methode die bekend staat als 'scraping'. Dat is kort gezegd een methode om via een (geautomatiseerd) script grote hoeveelheden aan (openbare) informatie binnen te trekken en te bundelen. Het betreft in dit geval dan ook informatie die ooit door de getroffen gebruikers zélf is gedeeld, en of je in die zin wel kunt spreken van een traditioneel datalek is dan ook een semantische discussie.

    Daarmee gaan we echter voorbij aan een belangrijk feit: een dataset met persoonlijke informatie van honderden miljoenen gebruikers is juist vanwege de omvang en de verscheidenheid aan persoonsgegevens per definitie waardevol voor oplichters, criminelen en andere kwaadwillenden, of je er nu het stempel 'datalek op moet plakken of niet.

    Zij kunnen met deze informatie gerichte phishingaanvallen uitvoeren, ze kunnen je e-mailadres en telefoonnummer gebruiken voor spam en in combinatie met gegevens uit eventuele andere datalekken is ook identiteitsfraude een potentieel risico.

    Bovendien kunnen kwaadwillenden proberen om je LinkedIn-account binnen te dringen door middel van een zogenaamde brute force-aanval, een techniek die min of meer neerkomt op het geautomatiseerd afvuren van allerlei mogelijke wachtwoordcombinaties tot het een keer raak is.

    Afhankelijk van de sterkte (met andere woorden: de lengte, de variëteit en de complexiteit) van je wachtwoord kan dat een kwestie zijn van minder dan een seconde tot vele honderden miljarden jaren, zoals deze infographic treffend illustreert.

    Onderzoekers van Cybernews wisten op basis van onderzoek in ieder geval te bevestigen dat de informatie uit het proefmonster op waarheid berust. Wel plaatsen zij een kanttekening bij de volledige set: aan een uitspraak over de vraag of alle aangeboden data up-to-date is of dat er sprake is van het opnieuw aanbieden van data uit een 'ouder' datalek waagt het platform zich niet.

    Cybernews heeft LinkedIn om een reactie gevraagd, en LinkedIn heeft op 8 april 2021 een reactie gegeven op de eigen website (eerder in dit artikel meegenomen in het update-blokje).

    Waar kun je zelf nog rekening mee houden?

    Waarom dan toch een bericht? Zoals het datalek bij Facebook enkele dagen geleden aantoonde, maakt het in zekere zin niet zo gek veel uit of alle data per se nieuw is. Ook oudere persoonsgegevens die opnieuw gebundeld in één set worden aangeboden, bieden oplichters zoals reeds toegelicht de nodige mogelijkheden om je met allerlei oplichtingsgerelateerde doeleinden te benaderen.

    Lees ook:

    Wat je daarnaast voorlopig in ieder geval kunt doen, is het in acht nemen van de volgende voorzorgsmaatregelen:

    • Wees op je hoede voor eigenaardige of verdachte berichten of connectieverzoeken via LinkedIn
    • Stel tweefactorauthenticatie in op LinkedIn en andere platformen die je daartoe de mogelijkheid bieden
    • Verander voor de zekerheid je LinkedIn-wachtwoord en het wachtwoord van het bijbehorende e-mailadres
    • Overweeg het gebruik van een wachtwoordmanager
    • Check via een website als Haveibeenpwned.com of jouw gegevens bij een datalek zijn buitgemaakt

    Overigens biedt ook Cybernews een eigen tool om te controleren of er ooit persoonsgegevens van je op straat zijn beland. Het lijkt er overigens wel op dat Cybernews alleen de data uit het proefmonster heeft toegevoegd aan de eigen zoekfunctionaliteit, en dus niet de gegevens van alle 500 miljoen gebruikers. Daarmee is dus niet per definitie gezegd dat een negatief zoekresultaat met honderd procent zekerheid betekent dat jouw gegevens niet op straat liggen.

    Bron: Cybernews

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant