15 jul. 2021

Scraping en LinkedIn: "robé 700 millones de registros por diversión"

¿Cuántos detalles personales publicas en las redes sociales? ¿Nombre, lugar de residencia, edad, puesto de trabajo, estado civil, foto de perfil? La cantidad de información que compartimos y cuán cómodos nos sentimos haciéndolo varía de un usuario a otro.

Pero la mayoría aceptan que todo lo que sale a la luz en un perfil público es de dominio general.

Entonces ¿cómo te sentirías si una persona recopilara toda tu información disponible y la incluyera en una enorme hoja de cálculo junto a los datos de millones de usuarios para venderla en internet al mejor postor?

Eso es precisamente lo que hizo el mes pasado quien se hace llamar "Tom Liner". Compiló en una base de datos la información de 700 millones de usuarios de LinkedIn de todo el mundo y la puso a la venta por unos US$5.000. Y lo hizo "por diversión".

El incidente, y otros casos similares del denominado scraping en las redes sociales han provocado un feroz debate sobre si la información básica que compartimos públicamente en nuestros perfiles debería estar mejor protegida o no.

Tom me dice que está vendiendo su botín por unos US$ 5.000 a "múltiples" clientes. No revela quiénes son o por qué quieren esa información, pero dice que es probable que los datos se utilicen para otros delincuentes.

La noticia también ha causado revuelto en el mundo de la seguridad y la privacidad cibernética y generado un debato sobre si deberíamos preocuparnos por esta creciente tendencia de scraping a gran escala. Estas bases de datos no se crean al irrumpir en los servidores o sitios web de las redes sociales.

En gran parte, el scraping se hace "raspando" la superficie pública de las plataformas que utilizan programas automáticos para tomar cualquier información que esté disponible sobre los usuarios.

En teoría, la mayoría de los datos se pueden encontrar simplemente seleccionando perfiles individuales de redes sociales. Aunque, por supuesto, se necesitaría muchísimo tiempo para recopilar todos los datos que son capaces de seleccionar los piratas informáticos.

En lo que va del año, ha habido otros tres incidentes importantes de scraping:

  • En abril, un delincuente vendió otra base de datos de unos 500 millones de registros extraídos de LinkedIn.
  • En la misma semana, otra persona publicó una base de datos de información extraída de 1,3 millones de perfiles de Clubhouse en un foro de forma gratuita.
  • También en abril, se recopilaron 533 millones de datos de usuarios de Facebook a partir de una mezcla de scraping antiguo y nuevo antes de ser entregados en un foro de piratería pidiendo donaciones.

Tom me dijo que creó la base con datos de 700 millones de registros de LinkedIn usando "casi exactamente la misma técnica" que utilizó para crear la lista de Facebook. "Me tomó varios meses hacerlo. Fue muy complejo. Tuve que hackear la API de LinkedIn.

El sitio de seguridad digital Privacy Shark, que descubrió la venta de la base de datos, examinó la muestra gratuita y descubrió que incluía nombres completos, direcciones de correo electrónico, género, números de teléfono e información de la industria.

LinkedIn dice que sus investigaciones sugieren que Tom Liner no usó su API, pero confirmó que el conjunto de datos "incluye información extraída de LinkedIn, así como información obtenida de otras fuentes".

Estas bases tienen valor porque son una gran base de datos de emails activos que se pueden usar para enviar campañas masivas de phishing por correo electrónico.

El experto en seguridad cibernética Troy Hunt, quien ha pasado la mayor parte de su vida laboral analizando el contenido de bases de datos pirateadas, no le preocupan tanto los recientes incidentes de scraping y dice que debemos aceptarlos como parte del hecho de que nuestro perfil es público. "Definitivamente, no se trata de infracciones. La mayoría de estos datos son públicos de todos modos. La pregunta que debe formularse en cada caso es cuánta de esta información es de acceso público por elección del usuario y cuánta no se espera que lo sea".

Fuente: BBC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!