Gegevens van honderden miljoenen LinkedIn-gebruikers te koop aangeboden

De gegevens van 700 miljoen LinkedIn-gebruikers zijn op een hackersforum te koop aangeboden. Het gaat onder meer om namen, e-mailadressen, telefoonnummer, brancheinformatie en geslacht.

Dit meldt PrivacySharks. Een woordvoerder van LinkedIn meldt in een reactie dat het platform het lek onderzoekt. Op basis van een initiële analyse vermoedt LinkedIn dat de informatie is gescrapet van LinkedIn en de dataset ook informatie omvat die uit andere bronnen afkomstig zijn. De woordvoerder spreekt een datalek op LinkedIn dan ook tegen. De dataset zou geen private informatie van gebruikers omvatten.

Oded Vanunu, Head of Products Vulnerability bij Check Point Software Technologies, waarschuwt dat dit niet een op zichzelf staand incident is. Onderzoek van Check Point Research toonde eerder al problemen met TikTok-API's aan. "Deze zaak is vergelijkbaar met wat we eerder meldden over TikTok, waar we met een TikTok-API query een gebruikersdatabase konden bouwen. In het geval van Linkedin lijkt het erop dat de hackers de data hebben verkregen door de LinkedIn-API te hacken om de informatie die gebruikers naar de site hebben geüpload te kunnen verzamelen. Deze incidenten tonen aan dat API-beveiliging erg belangrijk is tijdens de bouw van applicatielogica en -infrastructuur. Cloudapplicaties worden voornamelijk gebouwd met kernapplicatielogica die data door middel van veel API's door de hele applicatie stuurt. Als deze API's niet veilig zijn, stelt dit hen bloot aan risico's, vooral bij kwetsbaarheden in API-code of bij onbeperkte API-calls. Dit kan een groot databaselek veroorzaken, zoals nu gebeurd is bij LinkedIn", zegt Vanunu.