Jak „były prezes Apple” zbierał poufne dane użytkowników LinkedIn
W sobotni poranek kilka tysięcy ludzi otrzymało zaproszenia na portalu LinkedIn od Johna Sculley’a – byłego prezesa Apple. Jeśli zaliczasz się do tego grona, to mam dla Ciebie smutną wiadomość. John wcale nie chce być Twoim kumplem. Wszystko to wina słabych zabezpieczeń serwisu społecznościowego.
Forbes poinformował, że ktoś podszył się pod byłego prezesa Apple. W pewnym momencie zaproszenia do nawiązania kontaktu od Johna Sculley’a były akceptowane z prędkością 4 na minutę, co pokazuje, jak wiele osób mogło się nabrać na czyjś przekręt. A nie chodzi tylko zwykłą zabawę. Każdy, kto przyjął zaproszenie, jednocześnie dał dostęp do wszystkich swoich danych, włącznie z historią zatrudnienia, adresem e-mail, a nawet prywatnym lub służbowym numerem telefonu (o ile oczywiście miał to wpisane w swoim profilu).
Wszystko to przez lukę w API serwisu LinkedIn, która pozwala na zmianę adresu e-mail na numer telefonu osoby, z którą nawiązaliśmy kontakt. Taki funkcjonalność to oczywiście bardzo łakomy kąsek dla wszystkich firm, które odsprzedają dane kontaktowe, w szczególności prezesów i dyrektorów dużych firm.
Najgorsze w tym wszystkim jest to, że zdobycie poufnych informacji jest banalne proste. Na początku wystarczy założyć fikcyjne konto i przez miesiąc pozostawić je same sobie, aby „dojrzało”. Po tym czasie pojawi się komunikat o dodanie historii zatrudnienia, które zostaną zaakceptowane, obojętnie co by się tam nie wpisało. Kolejny krok to weryfikacja adresu e-mail na Gmailu lub Yahoo oraz import kontaktów. Jeśli już to zrobimy, to wszyscy z naszej książki adresowej dostaną zaproszenia do nawiązania kontaktu (w ten sposób można łatwo wysłać kilka tysięcy zaproszeń).
Jeśli zaakceptujemy takie zaproszenie, to osoba podszywająca się pod kogoś innego ma od razu dostęp do naszych danych poufnych danych, w tym telefonu komórkowego, który normalnie nie jest dostępny. Możliwe jest także sprawdzenie z kim już nawiązaliśmy kontakt.
Jak już pisałem – tego typu dane, a w szczególności numery telefonów, są bardzo wartościowe. Co jest w tej sytuacji smutne, oszust zapewne bez problemu znajdzie nabywcę dla takich informacji.
Zatem przestroga jest bardzo prosta – jeśli do nawiązania kontaktu zaprasza Was ktoś znany, to uważajcie. Uwierzcie mi, że prezes Apple raczej nie próbowałby nawiązywać kontaktu z ogromną rzeszą, mało znanych osób.