Havebin

Ipad

LinkedInの7億件のレコードをスクレイピングしたのは「楽しみのため」だったとハッカーが主張c

Havebin
qlamk
0 Comments
LinkedInの7億件のレコードをスクレイピングしたのは「楽しみのため」だったとハッカーが主張c
LinkedInの7億件のレコードをスクレイピングしたのは「楽しみのため」だったとハッカーが主張c
LinkedInスクレイピング

先月、LinkedInのスクレイピングにより、7億人のユーザー(サービス利用者の約92%)のデータが流出したと報じました。データには、位置情報、電話番号、推定給与などが含まれていました。

その背後にいる男は現在特定されており、「楽しみのため」にやったと語っているが、そのデータは販売もしているという…

背景

データスクレイピングは議論の的となるトピックです。簡単に言えば、Webページにアクセスし、表示されたデータを読み取り、データベースに追加するソフトウェアを作成することです。

より一般的には、Web サービスが提供する API (アプリケーション プログラミング インターフェイス) を正当な目的で使用し、大量のデータを取得します。

議論を呼ぶのは、一方では、スクレイピングを行う側は、公開されているデータにアクセスしているだけで、単に効率的に行っているだけだと主張するからです。他方では、スクレイピングの目的とは異なるツールを悪用している、また、ウェブサイトで公開されているデータよりもAPIを通じて入手できるデータの方が多く、ユーザーがどのデータが漏洩したかを把握するのが難しい、と主張する人もいます。

用語をめぐっても議論があります。多くのセキュリティ専門家は、データが一般公開されている場合はセキュリティ侵害には当たらないと主張しています。一方、LinkedInのようなサービスが、文字通り数億件ものレコードをスクレイピングしている人物を検知できないのであれば、それは重大なセキュリティ上の欠陥だと私は考えています。

LinkedInのスクレイピングは楽しみのため、そして利益のために

BBCニュースは、データを取得したトム・ライナーという名の男と話した。

あなたのすべての情報がハッカーによってカタログ化され、何百万ものエントリを含む巨大なスプレッドシートにまとめられ、最も高額の報酬を支払うサイバー犯罪者にオンラインで販売されたとしたら、どう感じるでしょうか?

先月、トム・ライナーと名乗るハッカーが「楽しみのために」世界中のLinkedInユーザー7億人のデータベースを作成し、約5,000ドル(3,600ポンド、4,200ユーロ)で売りに出しました。[…]

ライナー氏の場合、彼の最新のエクスプロイトは、英国夏時間午前8時57分、悪名高いハッキングフォーラムへの投稿で発表されました[…] 「こんにちは、2021年のLinkedInのレコードを7億件持っています」と彼は投稿しました。投稿には、100万件のレコードのサンプルへのリンクと、他のハッカーが彼に個人的に連絡を取り、データベースを売却するよう求める招待状が含まれていました。

ライナー氏は、4月に5億3300万件のFacebookプロフィールのスクレイピングにも関与していたと述べている(自分のデータが取得されたかどうかは、こちらで確認できる)。

トムは、Facebook リストを作成するときに使用したのと「ほぼ同じ手法」を使用して、7 億件の LinkedIn データベースを作成したと私に話しました。

彼はこう語った。「数ヶ月かかりました。とても複雑でした。LinkedInのAPIをハッキングしなければなりませんでした。ユーザーデータを一度に大量にリクエストすると、システムによって永久にアクセス禁止になります。」

LinkedIn は Liner が同社の API を使用したことを否定しているが、サイバーセキュリティ企業の SIS Intelligence は、その使用に対する管理を強化する必要があると述べている。

CEOのアミール・ハジパシッチ氏は、今回の件をはじめとする大規模なスクレイピングの詳細は、ほとんどの人が公開されるとは予想していないものだと述べています。ハジパシッチ氏は、一般の人が閲覧できるよりも多くのユーザー情報を提供するAPIプログラムは、より厳格に管理されるべきだと考えています。

「このような大規模な漏洩は、場合によっては地理的な場所や個人の携帯電話番号やメールアドレスなど、情報の詳細が非常に複雑なため、懸念される。」 

「これらの API エンリッチメント サービスに非常に多くの情報が保存されていることは、ほとんどの人にとって驚きでしょう。

セキュリティ専門家でhaveibeenpwned.comの所有者であるTroy Hunt氏は、APIの不正使用はセキュリティ侵害とは考えていないが、より厳しい管理が必要であるという点についてはほぼ同意していると述べた。

「Facebookなどの立場に反対はしませんが、『これは問題ではない』という対応は、技術的には正しいかもしれませんが、ユーザーデータの価値が欠けており、データベースの作成における自社の役割を軽視しているのではないかと思います。」

写真: ベンジャミン・レーマン/Unsplash

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like