В прошлом месяце мы сообщили о парсинге LinkedIn, в ходе которого были обнаружены данные 700 миллионов пользователей — около 92% всех пользователей сервиса. Данные включали местоположение, номера телефонов и предполагаемую заработную плату.
Человек, стоящий за этим, теперь идентифицирован и говорит, что сделал это «для развлечения» — хотя он также продает данные …
Задний план
Сбор данных — спорная тема. В простейшем случае это означает написание программного обеспечения для посещения веб-страницы, чтения отображаемых данных и последующего добавления их в базу данных.
Чаще люди будут использовать API-интерфейсы (интерфейсы прикладного программирования), предоставляемые веб-службой, в законных целях и использовать их для сбора больших объемов данных.
Это спорно, потому что, с одной стороны, те, кто занимается парсингом, могут утверждать, что они получают доступ только к общедоступным данным — они просто делают это эффективно. Другие утверждают, что они злоупотребляют инструментами, не предназначенными для этой цели, и что через API-интерфейсы доступно больше данных, чем отображается на веб-сайтах, что затрудняет пользователям понимание того, какие данные были раскрыты.
Есть даже разногласия по поводу терминологии. Многие специалисты по безопасности утверждают, что доступ к данным для общего доступа не является нарушением безопасности. Я бы сказал, что если такая служба, как LinkedIn, не обнаруживает, что кто-то очищает буквально сотни миллионов записей, это серьезный сбой в системе безопасности.
Парсинг LinkedIn для развлечения — и прибыли
BBC News поговорила с человеком, взявшим данные, под именем Том Лайнер.
Как бы вы себя чувствовали, если бы вся ваша информация была каталогизирована хакером и помещена в огромную электронную таблицу с миллионами записей для продажи в Интернете самым высокооплачиваемым киберпреступникам?
Это то, что хакер, назвавший себя Томом Лайнером, сделал в прошлом месяце «для развлечения», когда составил базу данных из 700 миллионов пользователей LinkedIn со всего мира, которые он продает примерно за 5000 долларов (3600 фунтов стерлингов; 4200 евро). […]
В случае с г-ном Лайнером его последний эксплойт был объявлен в 08:57 BST в сообщении на печально известном хакерском форуме. […] «Привет, у меня 700 миллионов записей LinkedIn на 2021 год», — написал он. В сообщение была включена ссылка на образец из миллиона записей и приглашение другим хакерам связаться с ним в частном порядке и сделать ему предложения по его базе данных.
Лайнер говорит, что он также стоял за парсингом 533 миллионов профилей в Facebook еще в апреле (вы можете проверить, были ли захвачены ваши данные).
Том сказал мне, что он создал базу данных LinkedIn на 700 миллионов, используя «почти ту же технику», которую он использовал для создания списка Facebook.
Он сказал: «На это у меня ушло несколько месяцев. Это было очень сложно. Пришлось взломать API LinkedIn. Если вы сделаете слишком много запросов на получение пользовательских данных за один раз, система заблокирует вас навсегда ».
LinkedIn отрицает, что Liner использовал свой API, но компания по кибербезопасности SIS Intelligence заявляет, что нам нужно больше контроля над их использованием.
Генеральный директор Амир Хаджипашич говорит, что подробности этого и других массовых мероприятий — не то, что большинство людей ожидает увидеть в открытом доступе. Он считает, что программы API, которые предоставляют больше информации о пользователях, чем может видеть широкая публика, должны находиться под более жестким контролем.
«Крупномасштабные утечки, подобные этой, вызывают беспокойство, учитывая в некоторых случаях сложные детали этой информации, такие как географические местоположения или личные мобильные адреса и адреса электронной почты.
«Для большинства людей будет сюрпризом, что эти службы обогащения API содержат так много информации.
Эксперт по безопасности и владелец haveibeenpwned.com Трой Хант говорит, что не считает неправильное использование API нарушением безопасности, но в основном согласен с необходимостью усиления контроля.
«Я не не согласен с позицией Facebook и других, но я чувствую, что ответ« это не проблема », хотя и технически точен, не учитывает мнение о том, насколько ценны эти пользовательские данные, и что они, возможно, преуменьшают их собственные роли в создании этих баз данных ».
Фото: Бенджамин Леман / Unsplash
