Circa cinquecento milioni di profili rubati da LinkedIn

LinkedIn è un sito di tipo social network il cui scopo è quello di favorire le interconnessioni tra individui per scopi lavorativi. Si può dire che LinkedIn sia una sorta di Facebook del mondo del lavoro. Il sito è fra i più famosi al mondo nello scenario dei professionisti. Numerosissimi sono gli utenti che si appoggiano a questo sito per esporre il proprio curriculum e le proprie offerte di lavoro.

Secondo numerose fonti, circa 500 milioni di profili su LinkedIn, sarebbero stati messi in vendita sul Dark Web. In modo del tutto simile a come sarebbe avvenuto pochi giorni prima per Facebook, sembra che qualcuno abbia utilizzato un sistema automatico di raccolta dati nato allo scopo di leggere i dati pubblici di milioni di pagine web e successivamente inserirle all’interno di un database. La tecnica informatica in questione si chiama Web Scraping e può essere portata a termine con l’ausilio di moltissimi strumenti.

I siti che normalmente sono soggetti a questo genere di tecnica sono quelli più famosi e che quindi hanno al loro interno parecchi utenti, i siti che fanno marketing di affiliazione, i siti che in base al target di utenti offrono informazioni utilizzabili per fini di lead generation (la pratica di trovare potenziali clienti), entrate pubblicitarie contraffatte dalle visite fittizie.

Sebbene siano necessarie delle competenze tecniche per portare avanti questo genere di raccolta dati, questo sistema non richiede particolari doti di altissimo livello. Si tratta infatti di un modo per carpire informazioni che sono già rese pubbliche oppure profili privati tramite l’aggiunta di amicizie di persone che non si conoscono.


Per essere più chiari è come se una persona in modo molto rapido, si fosse messa a copiare ed incollare su un database ordinato le informazioni che ritiene utili per la vendita. Poiché si tratta di un sistema automatico, questa operazione viene fatta milioni di volte più rapidamente.

E’ doveroso anche aggiungere che l’atto di registrare informazioni pubbliche su un database è una pratica che viene fatta normalmente anche dai motori di ricerca e dai siti che si occupano di SEO. Se fosse confermata la voce che si sono appropriati solo di dati pubblici tramite web scraping, la differenza starebbe nell’utilizzo illecito e nella vendita di questi dati. Chiunque sa che se mette il proprio numero di telefono in una pagina pubblica su internet, prima o poi viene raggiunto da chiamate inattese ed indesiderate.

In sostanza, se una pagina è pubblica ed è visualizzabile da un browser, sicuramente potrà essere letta anche da un sistema automatico alla base del web scraping. Esistono molti modi per proteggere un sito da questa procedura come il monitoraggio di un singolo indirizzo ip che rapidamente si muove su più pagine. Ma qualora la persona malintenzionata fosse in possesso di diversi ip e di un pò di dimestichezza nei linguaggi di programmazione, potrebbe opportunamente simulare un accesso tradizionale e casuale da diversi punti del globo. E l’amministratore del sito vedrebbe un incremento delle visite ma non potrebbe avere alcuna prova che queste visite non sono di utenti normali.

Data la diffusione di indirizzi ip dinamici utilizzati da molti operatori, anche l’amministratore di sistema più attento avrà serie difficoltà a bannare determinati indirizzi che gli sembrano sospetti. Precludere l’accesso a numerose classi di indirizzi ip potrebbe negare il servizio a coloro i quali sono utenti legittimi che usano semplicemente il medesimo provider per connettersi ad internet.


Ci sono altri modi con cui il sito potrebbe difendersi come ad esempio l’inserimento di richieste di conferma di non essere robots ma questo diminuirebbe sensibilmente l’accesso da parte delle persone perché trovano noioso dover cliccare ogni volta per confermare di non essere un programma automatico.

Appare quindi subito chiaro che il modo migliore per proteggere la propria privacy da questo genere di azioni, è senza dubbio quello di evitare di immettere dati potenzialmente sensibili su internet. Nel caso in cui si abbia la necessità di fare pubblicità a se stessi, molte volte l’inserimento di questi dati risulta obbligatorio. Un esempio potrebbe essere una persona che ha necessità di trovare lavoro e mette il proprio curriculum online insieme al proprio indirizzo email per essere contattato.

Tali informazioni in questo modo collezionate potrebbero essere vendute a chiunque, a call center decisamente poco professionali e senza scrupoli, a truffatori e malintenzionati di qualsiasi tipo. Bisogna fare sempre molta attenzione a tutti i dati che si immettono nella rete perché non c’è mai la certezza della sicurezza totale.

Le informazioni in merito alla tecnica adottata comunque non sarebbero state confermate al 100% e quindi consigliamo agli utenti di cambiare le proprie password di accesso al profilo.

Qualora fosse stata utilizzata la stessa password anche per le email associate al profilo, cosa che è buona norma non fare mai, sarebbe opportuno modificare le password anche di queste ultime (ed anche le password di accesso ad altri siti e sistemi). Ricordiamo che le password devono essere quanto più complesse e lunghe possibili, dovrebbero essere univoche, modificate con regolarità e non dovrebbero mai essere memorizzate su supporti accessibili, in modo particolare in rete.

Sebbene sia più macchinoso accedere, vi consigliamo di utilizzare sempre browser con i cookie disabilitati, di sloggare sempre una volta finito il lavoro sulla piattaforma e di attivare ove presente l’accesso con due passaggi.

Il garante della privacy, avrebbe consigliato inoltre di fare attenzione alle prossime settimane ad eventuali anomalie sul proprio telefono o nel proprio account. Potrebbero verificarsi tentativi di truffa con email di scam, telefonate indesiderate o altri tentativi illeciti.

Si tenga sempre ben presente in mente che non è mai una buona idea mettere i propri dati online se non è strettamente necessario. Se un dato viene reso pubblico su un qualsiasi sito chiunque potrebbe essere in grado di utilizzarlo senza il vostro consenso.


Inoltre, anche qualora i dati fossero privati, c’è sempre il rischio che qualche persona possa sfruttare una vulnerabilità informatica per accedere ai vostri profili.

Gli attacchi finalizzati alla vendita di dati personali non coinvolgono solo LinkedIn ma anche molte altre società e portali. Per maggiori informazioni rivolgetevi direttamente al proprietario del sito e seguite le indicazioni di sicurezza più comuni.

In questo link troverai le fonti dell’articolo.


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi