Un 'hacker' posa a la venda dades de 500 milions d'usuaris de LinkedIn

La informació no inclou contrasenyes però sí experiència laboral i formació acadèmica

2 min

La informació recollida és pública, però les xarxes prevenen el buidatge automàtic de dades.

Barcelona"Un preu mínim de quatre dígits". Això és el que reclamava l'autor d'un hackeig a LinkedIn, en un portal dedicat a la pirateria, a canvi de donar la informació sensible de 500 milions d'usuaris d'aquesta plataforma social centrada en l'àmbit professional. Entre les dades que es posen a la venda hi ha el nom, el telèfon, el correu electrònic, els currículums acadèmics i l'experiència laboral declarada dels membres de la comunitat. La notícia arriba pocs dies després que Facebook també patís un atac cibernètic que es va saldar amb l'aparició de dades de 533 milions d'usuaris en un fòrum dedicat també a la pirateria, però en aquest cas s'oferien de manera gratuïta.

Segons una portaveu de la companyia, citada per Eldiario.es, LinkedIn està investigant l'assumpte però creu que "el conjunt de dades publicades sembla incloure informació visible públicament que va ser extreta de LinkedIn combinada amb dades agregades d'altres llocs web o empreses". Els membres d'aquesta xarxa poden escollir quina part del seu perfil és pública per a l'audiència general i quina queda reservada només per als altres usuaris, o específicament per a aquells amb qui s'hagi acceptat una interacció.

Les xarxes socials han adoptat mesures de seguretat per prevenir que algun usuari recopili massivament les dades dels usuaris, encara que siguin les públiques. Però algun forat en el sistema de protecció és el que, aparentment, ha permès que el hacker hagi creat de manera automatitzada i sistemàtica una base de dades amb les dades d'aquests centenars de milions d'usuaris. La tècnica es coneix en anglès com a scraping i per bé que no permet accedir a contrasenyes, missatges privats o números de targeta, el fet d'exposar números de telèfon i correus electrònics pot afavorir patir atacs més específics i dirigits.

Per demostrar la genuïnitat de les dades, el pirata informàtic ha posat a la venda també un segon paquet, en aquest cas valorat en dos dòlars, amb les dades de dos milions d'usuaris. El portal Cybernews, tanmateix, posa en dubte la vigència de les dades. "L'autor de la publicació afirma que les dades van ser scrapejades de LinkedIn. El nostre equip d'investigació ha pogut confirmar-ho analitzant les mostres proporcionades en el fòrum de hackers. Però no queda clar si l'autor de l'atac està venent perfils actualitzats de LinkedIn o si són dades agafades o agregades d'una bretxa anterior, patida per LinkedIn o altres empreses".

El valor d'aquestes dades és sempre relatiu i, en tot cas, es devalua ràpidament un cop comença a circular. En el cas de la filtració de Facebook, si es va penjar gratuïtament és perquè anteriorment havia estat voltant durant com a mínim dos anys en fòrums de pirates, buscant comprador.

Aquest no és el primer atac que pateix LinkedIn: el 2012 el hacker Yevgeny Nikulin va aconseguir robar prop de 6,5 milions de contrasenyes. Els afectats van perdre la capacitat d'entrar als seus perfils. Quatre anys després, es va descobrir que, a més, s'havien agafat els correus i contrasenyes de 100 milions d'usuaris més. El pirata informàtic va ser detingut l'octubre del 2016 a Praga i la justícia dels Estats Units el va condemnar a 88 mesos de presó.