Bulan lalu, peretasan LinkedIn dilaporkan mengekspos data 700 juta pengguna, atau 92% dari semua pengguna layanan. Data termasuk lokasi, nomor telepon dan upah dipotong. Pria di balik operasi tersebut, yang menyebut dirinya “Tom Liner”, mengatakan kepada BBC bahwa dia melakukan peretasan untuk bersenang-senang. Hanya dalam beberapa bulan, LinkedIn telah ditipu dua kali oleh peretas. Dalam kedua kasus, metode yang sama digunakan: skimming. Ketika berbicara tentang pengikisan, banyak profesional keamanan mengklaim bahwa itu bukan pelanggaran keamanan jika data tersedia untuk umum. Bahkan jika tidak ada informasi keuangan yang diperoleh, itu masih mengkhawatirkan. Faktanya, alamat email sederhana terkadang cukup untuk meniru atau melakukan serangan phishing yang ditargetkan.
Pengikisan data adalah topik yang kontroversial. Konkretnya, scraping terdiri dari mengekstraksi data dari situs web dengan sebuah program, dan kemudian menggunakannya, atau menjualnya kembali. Dalam bentuknya yang paling sederhana, ini melibatkan penulisan program yang mengunjungi halaman web, membaca data yang ditampilkan, dan kemudian menambahkannya ke database. Lebih umum, orang menggunakan API (antarmuka pemrograman aplikasi) yang disediakan oleh layanan web untuk tujuan yang sah, dan menggunakannya untuk mengambil data dalam jumlah besar.
Praktek ini kontroversial, karena, di satu sisi, mereka yang berlatih scraping mungkin berpendapat bahwa mereka hanya mengakses data yang tersedia untuk umum, mereka melakukannya secara efektif. Yang lain mengklaim bahwa mereka menyalahgunakan alat yang tidak dimaksudkan untuk tujuan ini dan bahwa ada lebih banyak data yang tersedia melalui API daripada yang terlihat di situs web, sehingga menyulitkan pengguna untuk melihat data apa yang telah diekspos. Terminologi bahkan menjadi bahan kontroversi. Banyak profesional keamanan mengklaim bahwa itu bukan pelanggaran keamanan jika data tersedia untuk umum. Tetapi jika layanan seperti LinkedIn tidak mendeteksi bahwa seseorang benar-benar menghapus ratusan juta catatan, bukankah itu terdengar seperti lubang keamanan yang besar?
LinkedIn menggores untuk kesenangan dan keuntungan and
BBC berbicara dengan orang yang mengambil data dan menolak identitasnya sebagai Tom Liner. Bagaimana perasaan Anda jika seorang peretas mengindeks semua informasi Anda dan memasukkannya ke dalam spreadsheet besar dengan jutaan entri, untuk dijual secara online kepada penawar tertinggi? Itulah yang dilakukan seorang peretas yang menyebut dirinya “Tom Liner” bulan lalu “untuk bersenang-senang.”
Peretas memasang 700 juta akun LinkedIn untuk dijual di forum khusus. Jumlah yang diminta setara dengan sekitar 4.200 euro. Kirimkan sampel gratis dengan 1 juta akun untuk membuktikan bahwa konten tersebut memang nyata. Pemeriksaan menunjukkan bahwa data tersebut benar-benar milik pendaftar. Ada nama, alamat email, nomor telepon, alamat pos, lokasi, nama dan link dari profil LinkedIn, pengalaman kerja, jenis kelamin, dan nama panggilan dari jejaring sosial lainnya.
Peretas mengatakan butuh beberapa bulan untuk melakukan ini. Itu sangat rumit. Anda telah meretas LinkedIn API. Jika Anda membuat terlalu banyak permintaan untuk data pengguna sekaligus, sistem akan melarang Anda secara permanen, katanya. Dan sedikit kejutan: Tom Liner yang terkenal memastikan bahwa pencurian 533 juta akun Facebook April lalu juga di antara bisnisnya. Dia meyakinkan kami bahwa metode pemulihan relatif sama antara Facebook dan LinkedIn. Ini dalam kedua kasus termasuk menyalahgunakan API untuk mengumpulkan informasi sebanyak mungkin.
LinkedIn belum secara agresif mengungkapkan data pada 700 juta pengguna platform jaringan pekerjanya yang terdaftar untuk dijual di web gelap sebagai pelanggaran data, dan menegaskan bahwa karena data diambil dengan cara lain oleh aktor jahat tidak bersalah.
LinkedIn menyangkal menggunakan Liner untuk API-nya, tetapi perusahaan keamanan siber SOS Intelligence mengatakan kami membutuhkan lebih banyak kontrol atas penggunaannya. Rincian kasus ini, dan peristiwa skimming massal lainnya, tidak seperti yang diharapkan kebanyakan orang di ranah publik, kata Amir Hadibaish, CEO dan pendiri SOS Intelligence. Dia percaya bahwa program API, yang memberikan lebih banyak informasi tentang pengguna daripada masyarakat umum, harus dipantau secara ketat.
Kebocoran skala besar seperti ini mengkhawatirkan, mengingat kompleksitas informasi ini, dalam beberapa kasus, seperti lokasi geografis atau ponsel pribadi, alamat email… Bagi kebanyakan orang, mengejutkan bahwa layanan pengayaan API ini berisi banyak informasi , katanya.
Troy Hunt, pakar keamanan dan pemilik haveibeenpwned.com mengatakan dia tidak melihat penyalahgunaan API sebagai pelanggaran keamanan, tetapi sebagian besar setuju bahwa lebih banyak kontrol diperlukan. Saya tidak setuju dengan posisi Facebook dan lainnya, tetapi saya memiliki kesan bahwa jawaban untuk “ini bukan masalah”, meskipun secara teknis mungkin benar, tidak lulus. Merasakan nilai ini dan itu data pengguna dapat mengurangi peran mereka dalam membuat database ini.
Sumber: BBC
Dan kau?
Apa komentar Anda tentang situasinya? Data untuk dijual diperoleh dengan menggores data, dari LinkedIn. Bagaimana Anda melindungi akun jejaring sosial Anda dari praktik ini?
Lihat juga:
Penjualan data 700 juta pengguna LinkedIn atau lebih dari 92% dari total 756 juta pengguna: Pengumpulan data lebih banyakMengapa dugaan kebocoran data Clubhouse kemungkinan hanya “pengikisan” data, semua informasi tampaknya bersifat publikData tentang 11 juta pengguna Prancis yang dicuri dari platform pemasaran Apollo telah disiapkan untuk dijual, dan file tersebut menyertakan nama dan alamat
“Creator. Award-winning problem solver. Music evangelist. Incurable introvert.”
More Stories
Tìm hiểu về HMI và cách sử dụng
Bayonetta 3 – Penyihir mendapat filter telanjang
Apple tidak mengakui kesalahan tentang membangun komputer dengan M2