Per quattro anni LinkedIn ha sottostimato gravemente un attacco hacker subito, scoprendo solo ora che gli account compromessi sarebbero 117 milioni e non i 6,5 stimati nel 2012. Risale ad allora la scoperta di un episodio di data breach, in seguito al quale il social network dei professionisti aveva caldeggiato per tutti i suoi iscritti un cambio della password. La doccia fredda è arrivata, a quattro anni di distanza, in questi giorni con un’offerta pubblicata da un utente registrato con il nickname “Peace” su The Real Deal, un sito di compravendita di beni illegali, dagli stupefacenti ai dati rubati dai cybercriminali.
Peace è lo stesso utente che recentemente aveva messo in vendita a 300 dollari l’uno i dati di milioni di iscritti al sito pornografico Naughty America. Con l’operazione LinkedIn ha alzato il prezzo: cinque bitcoin, cioè 2.200 dollari, per i dati di ciascun profilo. Si tratta, secondo quanto “pubblicizzato” su The Real Deal, di email e password (crittografate tramite hashing), ovvero delle informazioni necessarie per accedere ai profili degli iscritti e dunque ai loro dati anagrafici, al curriculum, ai loro network di contatti professionali.
Si può credere all’anonimo hacker? Un esperto contattato dalla redazione di Vice Motherboard, Tory Hunt, ha provato a verificare la validità di un campione di circa un milione di queste credenziali, confermando che si tratta di indirizzi email effettivamente registrati su LinkedIn (fatto poi convalidato anche da alcuni utenti singolarmente contattati). A detta di Hunt, è tecnicamente possibile che l’hacker abbia gonfiato il numero, esagerando sulla cifra dei 177 milioni, ma d’altra parte nei giri delle darknet raramente si rischia di rovinare la propria “reputazione”.
Hunt ha anche riferito a Vice che non tutte le password da lui visionate risultavano crittografate, segno che il criminale o i criminali erano riusciti a smontare alcuni degli hash. Il fatto che il furto di questi dati risalga al 2012 non attenua i rischi, anzi, perché “alcune di queste password saranno valide su siti diversi”, e non soltanto su LinkedIn.
Il social network, dal canto suo, in un blogpost ha detto di aver preso “misure immediate per invalidare le password dei profili interessati, e contatteremo questi iscritti per suggerire di resettarle”. Che si tratti del medesimo episodio del 2012 lo ha ammesso la stessa LinkedIn dicendo: “Non abbiamo alcuna indicazione che ciò sia il risultato di un nuovo security breach”.
Quanto alle misure adottate, l’azienda ha cominciato a invalidare le credenziali di accesso degli account creati prima del 2012 e non più modificate dopo il data breach di quell’anno. “Faremo sapere ai singoli iscritti se debbano modificare le loro password”. LinkedIn ha anche chiesto alle “parti interessate di smettere di rendere disponibili i dati di password rubate”, promettendo di valutare azioni legali in caso contrario. Nel frattempo, l’azienda terrà sotto osservazione gli account interessati per rilevare, con strumenti automatici, eventuali attività sospette.