Dopo il data leak massivo che ha riguardato Facebook qualche giorno fa (e per il quale il nostro Garante si è tempestivamente mosso) è la volta di Linkedin: nel dark web infatti è finito in vendita un dataset contenente i dati rubati da oltre 500 milioni di profili Linkedin. Un data leak di proporzioni forse più grandi rispetto a quello che ha riguardato Facebbok, quantomeno se rapportiamo il numero di utenti coinvolti con il numero totale di iscritti: 740 milioni circa sono infatti gli iscritti totali a Linkedin.

Tra i dati messi in vendita nel dark web ci sono indirizzi email, numeri di telefono, link ai profili su altri social, dettagli professionali ecc... dati molto sensibili e utili per condurre una lunga serie di attacchi diversi, dal furto di identità al phishing, passando per lo spear phishing...

Il costo? Il dataset completo è in vendita a circa 1.800 dollari, ma è possibile scaricare un campione di circa 2 milioni di account al prezzo di 2 dollari statunitensi. L'origine dei dati non è chiara: c'è chi parla di dati provenienti da una precedente violazione subita da Linkedin stessa o di breach subiti da altre aziende. In realtà l'ipotesi più accreditata, confermata anche dall'azienda stessa, è che i dati siano stati raccolti tramite il cosiddetto "scraping", una tecnica che permette di estrarre dati da un sito web tramite software o script che automatizzano la raccolta: in questo caso non si può parlare di data breach, perchè non c'è stata alcuna violazione dei sistemi tramite un cyber attacco.

Il Garante per la Protezione dei dati personali ha immediatamente aperto un'istruttoria verso Linkedin e adottato uno specifico provvedimento: l'urgenza di agire del Garante si fa più chiara se pensiamo che il social ha circa 740 milioni di iscritti e 500 milioni sono i profili riguardati dal leak. E' quindi bene che la totalità degli utenti italiani su Linkedin, ovvero 21 milioni, si consideri da ora esposto ad attività criminali e truffaldine.

Il provvedimento adottato dal Garante avverte chiunque sia entrato in possesso dell'intero dataset o di parte dei dati provenienti da questo leak, dell'illegalità di ogni utilizzo di tali dati: usare questo dataset è in aperto contrasto con le previsioni del GDPR, poichè questi dati derivano da un trattamento illecito. Sono possibili, prosegue il provvedimento, azioni di carattere sanzionatorio verso chiunque utilizzi tali dati.

Inoltre il Garante ha dedicato ampio spazio alle vittime del data leak, ricordando i rischi ai quali sono esposte e quali accortezze tenere nelle prossime settimane: particolare attenzione, spiega la nostra Authority, va prestata a eventuali anomalie connesse alla propria utenza telefonica e sul proprio account Linkedin. Il rischio è che i dati possano essere usati per ulteriori reati, ma c'è anche un rischio preciso, che risponde al nome di "SIM swapping".

Il "SIM swapping" in breve
Questo attacco gira attono, come dice il nome, alla SIM card: la SIM ci connette al newtork telefonico e ai dati dell'operatore, associando quindi la nostra SIM fisica con il nostro numero di telefono. In pratica, la nostra identità fisica, rappresentata dalla SIM, viene messa in corrispondenza univoca con la nostra identità digitale. SIM swapping indica proprio il trasferimento da una SIM card ad un'altra di questa corrispondenza col nostro numero telefonico.

E' quanto, in maniera del tutto lecita, accade quando cambiamo SIM card chiedendo all'operatore, però, di mantenere lo stesso numero: infatti il SIM swapping nasce in ambito legale per poi finire impigato come tecnica di attacco. Una volta che è stato effettuato il "cambio di SIM", tutti gli account che utilizzano l'autenticazione a due fattori e le One Time Password sono a rischio: dal conto corrente, al wallet Bitcoin al profilo Facebook ecc...

Il cambio di SIM serve infatti proprio per intercettare questi codici aggiuntivi, le OTP: l'attaccante, intercettando tali codici, potrà cambiare gli accessi ai nostri account, effettuare bonifici ecc...