Jenom pár dnů po zveřejnění údajů o více než půl miliardě uživatelů Facebooku je tady další půlmiliarda: tentokrát jsou postižení uživatelé služby LinkedIn. Nejde o následek klasického narušení bezpečnosti interních systémů, ale o takzvaný scraping – automatizované stažení veřejně dostupných údajů.

Na specializovaném diskusním fóru je k dispozici ochutnávka v podobě dvou milionů sad údajů, útočník se snaží zbylých pět set milionů prodat za čtyřcifernou částku v dolarech. 

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

K dispozici jsou následující data:

  • Uživatelské ID
  • Jméno a příjmení
  • Emailová adresa
  • Telefonní číslo
  • Pohlaví
  • Data týkající se pozic ve firmách
  • Odkazy na další sociální sítě

LinkedIn a jeho uživatelé mají s úniky dat své zkušenosti. V roce 2012 ruští útočníci získali data o zhruba šesti a půl milionech uživatelů, včetně slabě zahashovaných hesel, a data byla v roce 2016 zveřejněna. V témže roce byl pro tento útok na základě mezinárodního zatykače v Praze zadržen Rus Jevgenij Nikulin. Po necelých dvou letech (a politických peripetiích) došlo k jeho vydání do USA, kde byl loni odsouzen k více než sedmi letům vězení.

Současný problém je ale z jiného ranku a LinkedIn je v něm nejspíše v zásadě nevinně. Podle prohlášení společnosti jde o scraping, tedy automatizované stahování dat. A to je od klasického úniku dost odlišná situace.

Při klasickém úniku dat dochází k tomu, že vlivem nějaké zranitelnosti uniknou neveřejná data z backendových systémů provozovatele nějaké služby. Při scrapingu jsou automatizovaným způsobem stažena a zpracována veřejná data. Technicky se jedná o zcela běžné požadavky, na kterých není nic špatného. Jenom je nedělá člověk, ale robot. Stejně jako třeba při indexování webu vyhledávači, jako je třeba Google. Nemusí se nutně jednat ani o protizákonnou činnost.

Provozovatelé různých webů sice ve smluvních podmínkách automatizované stahování často zakazují, ale to má do síly zákona daleko. Může se jednat o porušení zákonů na ochranu osobních údajů (protože i oprávněně zveřejněné údaje mají nárok na jistou míru ochrany), ale to konkrétně záleží na umístění dat i útočníka, protože detaily jsou v různých státech různé.

Provozovatelé různých webů se automatizovanému stahování dat brání i technicky. Například pokud z jedné IP adresy přijde příliš mnoho požadavků za krátký čas, mohou ji zablokovat nebo další požadavky podmínit vyplněním CAPTCHA testu. Nicméně není to jednoduché, protože za jednou IP adresou se může skrývat třeba celá mobilní síť a CAPTCHA výzvy lze mnohdy automatizovaně vyřešit. Zároveň provozovatelé nechtějí obtěžovat legitimní uživatele.

Skrývá se v únicích dat tohoto typu nebezpečí pro uživatele? Stejně jako u předchozích dat z Facebooku ano i ne. Odpověď není jednoduchá.

Samotné zveřejnění údajů nepředstavuje pro uživatele problém. Zatímco u Facebooku unikla nezveřejněná telefonní čísla, sada dat z LinkedInu obsahuje pouze to, co si uživatelé výslovně přáli zveřejnit. Přesto to ale může pro uživatele znamenat problém.

Bezprostřední nebezpečí je již dříve zmiňovaný dokonalejší phishing. Podvržené zprávy mohou být důvěryhodnější tím, že budou obsahovat pro uživatele relevantní údaje. Data přitom mohou být agregována z více zdrojů. Mnoho uživatelů má účet jak na LinkedIn tak na Facebooku a není obtížné tato data automatizovaně propojit. Podle stejného e-mailu, telefonního čísla anebo třeba přímého odkazu z LinkedInu na Facebook. Lze tak automatizovaně spojit osobní a profesionální informace.

A navíc je lze prohledávat způsobem, který by jinak nebyl možný. Starší ročníky si jistě vzpomenou na menší aféru, která před několika desítkami let nastala, když byla publikována elektronická podoba kompletního telefonního seznamu. Klasický papírový telefonní seznam umožňoval hledání pouze podle jména nebo názvu firmy. Nicméně tatáž data v elektronické podobě umožnila i opačné hledání, k telefonnímu číslu dohledat jeho majitele, což tehdy způsobilo jistý poprask.

Současná situace je v mnohém podobná. Protože běžné mechanismy vyhledávání na Facebooku a LinkedInu (a dalších webech, protože podobných databází bude jenom přibývat) jsou záměrně omezené. Když ale máte surová data, můžete si s nimi dělat, co chcete. Třeba propojovat informace z různých zdrojů, zjišťovat jejich vzájemné vztahy, data různě filtrovat a třídit. Můžete vytvářet – bez jejich výslovného souhlasu: profily uživatelů. Tedy dělat přesně to, co velké technologické společnosti dělají dávno.

Jenže zdá se, že i zde platí, co je dovoleno bohovi, není dovoleno volovi. Jde zde o další instanci fenoménu, se kterým se v oblasti kybernetické bezpečnosti potýkáme dlouhodobě: demokratizace útoků. Věci, které před deseti lety byly technologicky nemožné, dokáže o něco později velká firma typu Google nebo Facebook, ještě o něco později malá firma a dneska jednotlivec s průměrným počítačem.