LinkedIn’de ikinci kez veri ihlali oldu: Bütün kullanıcılar risk altında

LinkedIn’in Mayıs ayında 500 milyon kullanıcısının veri ihlalinin ardından -tekrar- ihlal edildiği bildirildi. Bu olayı ilk bildiren VPN şirketi Privacy Shark’a göre, TomLiner adlı bir satıcı onlara 700 milyon Linkedin kullanıcı kaydına sahip olduğunu gösterdi. Bu, LinkedIn kullanıcılarının neredeyse tamamının (yüzde 92) bundan etkilendiği anlamına geliyor.

700M LinkedIn kullanıcısını satışa sunan TomLiner adlı kullanıcı

Gizlilikle ilgili bir bilgi sitesi olan RestorePrivacy, satıcının ortaya koyduğu kanıtı inceledi ve aşağıdaki bilgileri buldu:

• E-mail adresleri
• Tam adlar
• Telefon numaraları
• Fiziksel adresler
• Coğrafi konum kayıtları
• LinkedIn kullanıcı adı ve profil URL’si
• Kişisel ve profesyonel deneyim/geçmiş
• Cinsiyetler
• Diğer sosyal medya hesabı kullanıcı adları

Şifreler ve banka ayrıntılarının olmadığını unutmayın. Bu, verilerin ihlal edilmek yerine kazındığını gösteriyor. Kazıma, birisi bir web sitesinden herkese açık verileri çekmek için bir yazılım kullandığında yani web sitesini amacı dışındae kullandığında gerçekleşir. Her bir bireysel istek veya ziyaret, bir web sayfasını ziyaret eden gerçek bir kullanıcıya benzer, ancak tüm ziyaretlerin toplamı, kazıyıcıya muazzam bir bilgi veritabanı bırakır.

Satıcı yüz milyonlarca kaydı nasıl sıyırabildi? RestorePrivacy’ye göre, satıcı, LinkedIn’in API’sini kötüye kullandı; bu, neredeyse Nisan LinkedIn “ihlalinde” kullanılana benzer bir taktik.

Satıcı, verileri sıyırmak için LinkedIn API’sini kötüye kullandıklarını doğruladı. 5.000 USD istiyor. (Kaynak: RestorePrivacy)

Privacy Shark, LinkedIn adına konuşan Leonna Spilman’dan alınan bir açıklamada, gerçekten bir ihlal olmadığını iddia ediyor: “Bu sorunu hala araştırırken, ilk analizimiz veri setinin LinkedIn’den alınan bilgileri içerdiğini gösteriyor. Bu bir LinkedIn veri ihlali değildi ve araştırmamız hiçbir özel LinkedIn üye verisinin ifşa edilmediğini belirledi. LinkedIn’den veri almak, Hizmet Şartlarımızı ihlal ediyor ve üyelerimizin gizliliğinin korunmasını sağlamak için sürekli çalışıyoruz.”

Spilman’ın açıklaması, LinkedIn’in Nisan’daki “sızıntı” patlamasından sonra yayınladığı açıklamayı yansıtıyor: “Satış için yayınlanmış olduğu iddia edilen bir LinkedIn veri kümesini araştırdık ve bunun aslında bir dizi web sitesi ve şirketten gelen verilerin bir toplamı olduğunu belirledik. LinkedIn’den alınmış gibi görünen, herkesin görebileceği üye profili verilerini içerir. Bu bir LinkedIn veri ihlali değildi ve gözden geçirebildiklerimize LinkedIn’den gelen hiçbir özel üye hesabı verisi dahil edilmedi.”

Yeraltı satıcısı tarafından verilen “ihlal kanıtı” örneğinin küçük bir parçasından alınmış bir görüntü. (Kaynak: RestorePrivacy)

Ne yapılması gerekir?

Bazıları bunun gibi haberleri okuyabilir ve “Eh, halka açık bilgimi aldılar. Önemli bir şey değil, değil mi?”

Olaya şu şekilde bakın: E-posta adresinizin veya numaranızın herkesin görmesi risklidir. Sizin hakkınızda bu iki şeyi biliyorlarsa, spam kampanyaları için aday hedef olabilirsiniz: e-posta, SMS ve otomatik aramalar. Bu kampanyaları almaktan hoşlanan birini tanımıyoruz.

Daha da kötüsü, dolandırıcılar sizin hakkınızda ne kadar çok şey bilirlerse, mesajlarını o kadar makul ve cazip hale getirebilirler ve başkalarını dolandırırken sizmişsiniz gibi davranmaları o kadar kolay olur.

LinkedIn kullanıcısıysanız ve olası sonuçlardan endişe ediyorsanız, şimdi oturup LinkedIn profilinizi denetlemek için iyi bir zaman.

Güvenlikle başlayın: İki faktörlü kimlik doğrulamanın (2FA) etkinleştirildiğinden emin olun. Ayrıca e-posta adresinizin veya telefon numaralarınızın HaveIBeenPwned’de olup olmadığını kontrol etmek isteyebilirsiniz (LinkedIn 2012’de gerçek bir ihlal yaşadı ve 100 milyondan fazla şifre çalındı).

LinkedIn profilinize bir göz atın ve hangi kısımlarını gizli yapmak istediğinize karar verin. Sonuçta, bir şirket sizi işe almakla ilgilenirse, isterlerse iletişim numaranız gibi bazı bilgilerinizi onlara verebilirsiniz. Daha da iyisi, bunun yerine onlarla bir Zoom görüşmesi ayarlamayı düşünün. Bir LinkedIn kullanıcısı olarak hangi bilgilerin gösterileceğine veya gizleneceğine ve bunları kimin göreceğine karar verebileceğinizi unutmayın.