Τον τελευταίο καιρό, ακούμε συχνά περιστατικά που αφορούν data scraping από διάφορες social media πλατφόρμες. Τί είναι όμως το data scraping και τί πρέπει να προσέχετε; Πόσες προσωπικές πληροφορίες μοιράζεστε στις στα social media προφίλ σας; Όνομα, τοποθεσία, ηλικία, εργασία, οικογενειακή κατάσταση, σελίδες αρεσκείας σας; Οι πληροφορίες που κοινοποιούν οι χρήστες στο Διαδίκτυο ποικίλλουν. Πώς θα αισθανόσασταν εάν όλες οι πληροφορίες σας συγκεντρώνονταν από έναν χάκερ και τοποθετούνταν σε ένα τεράστιο spreadsheet με εκατομμύρια καταχωρίσεις, για να πωληθούν στο dark forum, σε διάφορες τιμές;
Αυτό ακριβώς έκανε, πριν δύο μήνες, ένας χάκερ (που αυτοαποκαλούταν “Tom Liner”) «για διασκέδαση», όταν δημιούργησε ένα database που περιλάμβανε data 700 εκατομμυρίων χρηστών του LinkedIn από όλο τον κόσμο, το οποία πουλά για περίπου 5.000$ (3.600£; 4.200€).
Το εν λόγω περιστατικό καθώς και άλλες παρόμοιες περιπτώσεις social media scraping, πυροδότησαν συζητήσεις σχετικά με το εάν οι βασικές προσωπικές πληροφορίες που κοινοποιούμε δημόσια στα προφίλ μας πρέπει να προστατεύονται καλύτερα.
Διαβάστε επίσης: LinkedIn: Data 700 εκατομμυρίων χρηστών προς πώληση σε hacking φόρουμ
Όσον αφορά τον Liner, στην ανάρτηση συμπεριλήφθηκε ένας σύνδεσμος που παρέπεμπε σε ένα δείγμα εκατομμυρίων αρχείων και μια πρόσκληση για άλλους χάκερ να επικοινωνήσουν μαζί του ιδιωτικά και να του προτείνουν προσφορές για το database του.
Σαφώς, ο Liner δεν θα πει ποιοι είναι οι «πελάτες» του ή γιατί θα ήθελαν αυτές τις πληροφορίες, αλλά λέει ότι τα δεδομένα πιθανότατα χρησιμοποιούνται για άλλες κακόβουλες δραστηριότητες. Αυτό οδήγησε τον κόσμο της κυβερνοασφάλειας και του απορρήτου να σκέφτεται το εάν πρέπει να ανησυχούμε ή όχι για αυτήν την αυξανόμενη τάση των mega scrapes. Αυτό που είναι σημαντικό να καταλάβουμε εδώ είναι ότι αυτά τα databases δεν δημιουργούνται με την είσοδο σε servers ή social media sites.
Δημιουργούνται σε μεγάλο βαθμό με το scraping της public-facing επιφάνειας των πλατφορμών, με τη χρήση αυτόματων προγραμμάτων για τη λήψη όσων πληροφοριών είναι ελεύθερα διαθέσιμες για τους χρήστες.
Θεωρητικά, τα περισσότερα από τα δεδομένα που συλλέγονται θα μπορούσαν να βρεθούν απλά με την επιλογή μεμονωμένων social media profile pages. Αν και φυσικά θα χρειαστούν πολλές ζωές για να συγκεντρωθούν όσο το δυνατόν περισσότερα δεδομένα, όπως μπορούν να κάνουν οι χάκερ.
Φέτος, σημειώθηκαν μέχρι στιγμής τουλάχιστον άλλα τρία σημαντικά περιστατικά «scraping». Συγκεκριμένα, τον Απρίλιο, ένας χάκερ πούλησε ένα άλλο database που περιείχε data περίπου 500 εκατομμυρίων χρηστών του LinkedIn.
Δείτε ακόμη: LinkedIn Data Breach: Διαψεύδει η εταιρεία – Αποφύγετε αυτά τα passwords
Την ίδια εβδομάδα, ένας άλλος χάκερ δημοσίευσε δωρεάν ένα database με 1,3 εκατομμύρια Clubhouse προφίλ σε ένα υπόγειο φόρουμ. Επίσης τον Απρίλιο, data 533 εκατομμυρίων χρηστών του Facebook κατέληξαν σε hacking φόρουμ. Ο χάκερ που λέει ότι είναι υπεύθυνος για αυτό το database του Facebook, είναι πάλι ο Tom Liner.
Ο Liner ισχυρίζεται ότι δημιούργησε το database των data 700 εκατομμυρίων χρηστών του LinkedIn χρησιμοποιώντας “σχεδόν την ίδια τεχνική” που χρησιμοποίησε για να δημιουργήσει τη λίστα του Facebook. Συγκεκριμένα, ανέφερε τα ακόλουθα: «Χρειάστηκαν αρκετοί μήνες για να το κάνω. Ήταν πολύ περίπλοκο. Έπρεπε να χακάρω το API του LinkedIn. Εάν κάνετε πάρα πολλά αιτήματα για data χρηστών σε μία στιγμή, τότε το σύστημα θα σας απαγορεύσει μόνιμα.» Ο Liner είπε λέει ότι βρήκε έναν τρόπο να «ξεγελάσει» το API software του LinkedIn για να του δώσει την τεράστια δόση αρχείων χωρίς να προκαλέσει «συναγερμούς».
Πρόταση: Facebook: Διέρρευσαν data εκατομμυρίων χρηστών – Πώς να δείτε αν εκτέθηκαν στοιχεία σας
Το Privacy Shark, που ανακάλυψε για πρώτη φορά την πώληση του database, εξέτασε το δωρεάν δείγμα και διαπίστωσε ότι περιλάμβανε πλήρη ονόματα, διευθύνσεις email, φύλο, αριθμούς τηλεφώνου και πληροφορίες για τον κλάδο.
Από την άλλη μεριά, το LinkedIn επιμένει ότι ο Tom Liner δεν χρησιμοποίησε το API τους, αλλά επιβεβαίωσε ότι το σύνολο δεδομένων «περιλαμβάνει πληροφορίες που αποσπάστηκαν με scraping από το LinkedIn, καθώς και πληροφορίες που λαμβάνονται από άλλες πηγές». Επιπλέον, το LinkedIn πρόσθεσε τα ακόλουθα: «Δεν πρόκειται για παραβίαση δεδομένων του LinkedIn και δεν έχουν εκτεθεί προσωπικά δεδομένα μελών. Το data scraping αποτελεί παραβίαση των Όρων Παροχής Υπηρεσιών μας και εργαζόμαστε συνεχώς για να διασφαλίσουμε την προστασία του απορρήτου των μελών μας.»
Scraping χαρακτήρισε και το Facebook το περιστατικό στο οποίο ενεπλάκη, δηλώνοντας ότι η συλλογή δεδομένων αποτελεί ένα ευρύ ζήτημα της βιομηχανίας, ενώ προσπάθησε να ομαλοποιήσει το γεγονός λέγοντας ότι πρόκειται για κάτι που συμβαίνει συχνά.
Ωστόσο, το γεγονός ότι χάκερ κερδίζουν χρήματα από αυτά τα databases, ανησυχεί ορισμένους ειδικούς από τον κλάδο της κυβερνοασφάλειας.