更新：PrivacyShark がこれを最初に報告したようで、現在は LinkedIn から以下の声明を入手しています。

LinkedInで2件目の大規模データ侵害が発生し、7億人のユーザーデータが流出したと報じられています。これは、全ユーザー7億5,600万人のうち92%以上に相当します。このデータベースはダークウェブで販売されており、電話番号、住所、位置情報、推定給与などの記録が含まれています。

データを入手したハッカーは100万件のレコードのサンプルを投稿しており、確認の結果、データは本物かつ最新のものであることが確認されています…

RestorePrivacy は、ハッカーがデータをダウンロードするために LinkedIn の公式 API を悪用した模様だと報告している。これは 4 月に発生した同様の侵害で使用されたのと同じ手法である。

6月22日、ある人気ハッカーのユーザーが、LinkedInユーザー7億人のデータを販売すると宣伝しました。フォーラムのユーザーは、LinkedInユーザー100万人分を含むデータのサンプルを投稿しました。サンプルを調査したところ、以下の情報が含まれていることが判明しました。

• メールアドレス

• フルネーム

• 電話番号

• 物理アドレス

• 地理位置情報記録

• LinkedIn のユーザー名とプロフィール URL

• 個人的および職業上の経験/経歴

• 性別

• その他のソーシャルメディアアカウントとユーザー名

弊社の分析と、サンプルデータと他の公開情報との照合に基づくと、すべてのデータは本物であり、実際のユーザーに関連付けられているようです。さらに、データは2020年から2021年までのサンプルに基づいており、最新のものであるようです。

ハッキングフォーラムでデータを販売しているユーザーに直接連絡を取りました。彼は、LinkedIn APIを悪用してユーザーがサイトにアップロードする情報を収集することで、このデータを入手したと主張しています。

パスワードは含まれていませんが、サイトが指摘しているように、これは依然として個人情報の盗難や、LinkedIn やその他のサイトのログイン認証情報を取得するために使用される可能性のある、説得力のあるフィッシング攻撃に使用できる貴重なデータです。

前回の侵害では、LinkedInは5億件の記録に自社のサーバーから取得したデータが含まれていることを確認しましたが、複数のソースが使用されたと主張しました。PrivacySharkは、同社が今回も同様の声明を発表したと指摘しています。

この問題は現在も調査中ですが、初期分析の結果、データセットにはLinkedInからスクレイピングされた情報に加え、他の情報源から取得された情報も含まれていることが判明しました。これはLinkedInのデータ漏洩ではなく、調査の結果、LinkedInメンバーの個人情報は漏洩していないことが判明しました。LinkedInからのデータスクレイピングは利用規約違反であり、メンバーのプライバシー保護に継続的に取り組んでいます。

誰かが、API を使ったかどうかに関わらず、何百万ものレコードをスクレイピングできたのは確かです。これは間違いなくセキュリティ侵害です...

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。