大規模なデータ流出でMicrosoft傘下のLinkedInの7億人のユーザーの個人情報が流出



(Natural News)
マイクロソフト社が運営するソーシャル・ネットワーキング・サービス(SNS)であるLinkedIn(リンクトイン)で、今年2度目のデータ流出が発生しました。

9to5Macの技術ジャーナリスト、ベン・ラブジョイ氏によると、ハッカーが約7億人のユーザーの個人情報を暴露したとのことです。これは、LinkedInの総ユーザー数7億5,600万人のうち、約92%に相当します。

今回のデータ流出は、6月22日に責任者であるハッカーがダークウェブ上のフォーラムでデータの販売を宣伝したことで発覚しました。
このハッカーは、100万件の記録のサンプルをダークウェブに掲載しました。
このサンプルから、データは本物であり、最新のものであることが確認されました。
ハッカーが入手した個人情報には以下のようなものがあります。

  • 電子メールアドレス
  • フルネーム
  • 電話番号
  • 物理的住所
  • ジオロケーション記録
  • LinkedInのユーザー名とプロフィールのURL
  • 個人的および職業的な経験と背景
  • 性別
  • 接続しているソーシャルメディアのアカウントとユーザー名
  • 推測される給料


このハッカーは、ユーザーのLinkedInのパスワードや財務記録を得ることはできませんでした。
しかし、上記のデータは、LinkedInユーザーを悪意ある者に悪用される危険性が高くなるため、依然として貴重なものです。

盗まれたデータは、個人情報の窃盗に利用されたり、被害者の詳細なプロフィールを作成して説得力のあるフィッシングを試みたり、ソーシャルエンジニアリング攻撃に利用されたりする可能性があります。

また、悪意のある者は、利用可能なデータ、特にユーザー名、電子メール、その他の個人情報を利用して、他のアカウントにハッキングしてアクセスすることができます。
一旦、個人情報にアクセスしてしまうと、取り返しのつかないことになります。

LinkedInのデータが最初に侵害されたのは4月初旬で、約5億人のユーザーのデータがサイトからスクレイピングされました。
同社によると、今回の侵害では他のウェブサイトの情報もスクレイピングされたという。
(関連記事 大規模なデータ流出により、5億3,300万人のFacebookユーザーアカウントが流出したが、Facebookは自社のユーザーにも警告を出さない)

ハッカーがLinkedInのAPIでデータを取得

Restore PrivacyのジャーナリストであるSven Taylorは、今回のデータ流出の原因となったハッカーにインタビューすることができました。
ハッカーは、LinkedInのAPI(アプリケーション・プログラミング・インターフェース)を悪用してデータを入手したと主張しています。

APIとは、開発者がアプリケーションやWebサイトと簡単にやり取りできるようにするための機能の集合体です。
開発者がLinkedInに変更を加えたい場合、APIを使えば、変更を処理して適切な場所に入力することができます。
これにより、開発者は多くの時間を節約し、作成する必要のあるコードの量を減らすことができます。

メッセージングサービス「Telegram」での短いやりとりの中で、テイラーは、ハッカーがLinkedIn APIを通じてデータを取得できた方法を示した完全なデータセットに対して5,000ドルを要求したと説明しました。

しかし、LinkedIn社の広報担当者との電子メールで、同社は、LinkedIn APIを通じてすべてのデータが取得できたわけではないと述べています。
むしろ、少なくとも一部のデータは、他のプラットフォームで公開されている公開情報をスクレイピングして取得した可能性が高いと同社は考えています。

同社は声明の中で次のように述べています。

当社のチームは、販売目的で投稿された一連のLinkedInデータの疑惑を調査しました。
これはデータ漏洩ではなく、LinkedInのプライベートメンバーのデータは公開されていないことを明確にしておきたい。
我々の最初の調査では、このデータはLinkedInや他の様々なウェブサイトからスクレイピングされたものであり、今年初めに2021年4月のスクレイピングアップデートで報告したデータと同じものが含まれています。


テイラーは、LinkedInの「プライベートデータ」の定義は、非常に主観的なものである可能性が高いと指摘しています。
また、同社の声明は、一部のデータが同社のサーバーから採取されたことを否定していません。

報道された時点で、ハッカーがLinkedInから盗んだデータはすべて、ダークウェブで販売されています。

ハッカーがLinkedInのようなウェブサイトから人々の個人データを取得する方法については、PrivacyWatch.newsの最新記事をご覧ください。

https://www.naturalnews.com/2021-07-04-data-breach-microsoft-linkedin-personal-data-users.html
382 : PV
コメントを投稿
お名前
タイトル
コメント
※管理者の承認後表示されます(一度書き込むと変更できませんのでご注意ください)

コメント一覧