Opnieuw is er een grote dataset met persoonlijke gegevens opgedoken op het dark web. Ditmaal zijn een half miljard LinkedIn-gebruikers het haasje. Geïnteresseerden kunnen een proof-of-concept van twee miljoen records kopen voor slechts twee dollar. De volledige dataset wordt verkocht voor een ‘minimumprijs die uit vier cijfers bestaat’.
Deze gegevens zijn er buitgemaakt
Eerder deze week plaatste een hacker op een populair hackersforum op het dark web het bericht dat hij de gegevens van 500 miljoen LinkedIn-gebruikers te koop aanbiedt. De dader zou de data bemachtigd hebben door profielen te scrapen. Bij scraping verzamelt een programma automatisch gegevens op het internet, veelal afkomstig uit meerdere openbare bronnen. Deze worden vervolgens samengevoegd tot één dataset.
Een aantal forumleden vroeg of de hacker een sample van de bemachtigde gegevens online kon zetten. Als bewijs plaatste de verkoper een kleine dataset online, bestaande uit de gegevens van twee miljoen gebruikers. Deze set bood hij te koop aan voor slechts twee dollar.
Volgens onderzoekers bestaat de dataset uit een groot aantal persoonlijke gegevens van LinkedIn-gebruikers. Het gaat om voor- en achternamen, telefoonnummers, e-mailadressen, geslacht, LinkedIn ID’s, links naar LinkedIn-profielen, links naar sociale media, functienamen en andere werk gerelateerde data.
LinkedIn: ‘Geen sprake van een datalek’
In een persverklaring bevestigt LinkedIn dat er gevoelige gegevens op straat liggen. Volgens het bedrijf gaat het echter niet alleen om gegevens van LinkedIn. Naar eigen zeggen is de dataset “een samenvoeging van gegevens van een aantal websites en bedrijven”. Om welke sites en bedrijven het gaat laat LinkedIn in het midden.
LinkedIn benadrukt dat er geen datalek heeft plaatsgevonden bij het bedrijf, maar dat de informatie is bemachtigd door middel van scraping. Ook stelt het platform dat er geen gegevens van privé-ledenaccounts op straat zijn beland.
Het kopiëren en opslaan van gegevens van LinkedIn-gebruikers is volgens de servicevoorwaarden verboden. “Als iemand probeert gegevens van leden te gebruiken voor doeleinden waarmee LinkedIn en onze leden niet hebben ingestemd, doen we er alles aan om hem te stoppen en verantwoordelijk te houden”, aldus LinkedIn.
Pas op voor phishing
Weliswaar zijn er geen inloggegevens bemachtigd. Het blijft echter oppassen geblazen. De buitgemaakte gegevens kunnen immers misbruikt worden voor identiteitsfraude, vriend-in-noodfraude, phishing en versturen van spamberichten.
Ook kunnen kwaadwillenden proberen om je LinkedIn-account te hacken door een brute force attack uit te voeren. Met een programmaatje proberen ze verschillende wachtwoordcombinaties uit, net zolang totdat het een keertje raak is. Als je dit wachtwoord voor meerdere online diensten gebruikt zoals sociale media, lopen deze eveneens gevaar. Het wijzigen van je wachtwoord is de enige manier om je hier tegen te wapenen.
Wachtwoorden gestolen
Het is niet de eerste keer dat LinkedIn in verlegenheid wordt gebracht. In 2012 werden zes miljoen onversleutelde e-mailadressen en wachtwoorden gestolen. Leden werden gevraagd om hun wachtwoord te wijzigen. Vier later bleek dat de hack veel omvangrijker was dan gedacht. Ruim 164 miljoen e-mailadressen en SHA1-gehashte wachtwoorden zonder salt werden door hackers buitgemaakt. Deze gegevens werden verkocht voor vijf bitcoin, die destijds zo’n 2.500 euro waard waren.
Gegevens half miljard Facebook-gebruikers eveneens op straat
LinkedIn is niet het eerste bedrijf waar deze week gevoelige persoonsgegevens op straat belandden. Afgelopen weekend verschenen de privégegevens van 533 miljoen Facebook-gebruikers op een hackersforum op het dark web. Onder de slachtoffers zijn ruim 5,4 miljoen Nederlanders en 3,2 miljoen Belgen. Net als LinkedIn zegt Facebook dat de gegevens niet zijn gestolen via een datalek, maar zijn gescrapet uit openbare bronnen.
De Ierse Data Protection Commission (DPC) heeft Facebook om opheldering gevraagd. Mogelijk is een deel van de data bemachtigd na mei 2018, de datum dat de AVG in werking trad. In dat geval had Facebook dit moeten melden bij de toezichthouder, wat het bedrijf niet heeft gedaan.
Een woordvoerder van Facebook zei deze week tegen persbureau Reuters dat het niet van plan is om slachtoffers actief te informeren. Hij zegt dat Facebook geen goed beeld heeft wie ze moet informeren over het voorval. Daarnaast kunnen gebruikers het probleem niet zelf oplossen en waren de gegevens al openbaar voordat Facebook überhaupt de kans kreeg om gedupeerden in te lichten.
