Obľúbená profesijná sociálna sieť LinkedIn minulý mesiac čelila masívnemu útoku. Hackerovi sa podarilo odcudziť údaje o 700 miliónoch užívateľov, pričom sa medzi údajmi mali nachádzať aj informácie o výške platu. Dnes už je útočník identifikovaný a priznal aj dôvod, prečo spravil to, čo spravil.
Ako píše server 9to5Mac, útočník povedal, že na LinkedIn zaútočil “zo srandy”. Pripomeňme však, že aj napriek tomu predáva odcudzené údaje, čiže motívom boli nepochybne aj peniaze.
Okrem zárobkov útočník zverejnil viacero citlivých informácií, vrátane telefónných čísel, adries, mien, e-mailov či prepojení na iné sociálne siete. Na internet neskôr zavesil vzorku pozostávajúcu z 1 milióna záznamov, pričom sa zistilo, že odcudzené údaje boli skutočne autentické.
Útok na LinkedIn: Kto je na vine?
Obecne je odcudzovanie údajov považované za kontroverznú tému. Poväčšine útočníci pre tento účel používajú API (rozhranie pre programovanie aplikácií) danej webovej služby. A práve v tomto momente vzniká tá kľúčová kontroverzia. Útočníci sa môžu ohradiť tým, že sa len efektívne dostávajú k verejne dostupným údajom. Na druhú stranu ale k tomu zneužívajú nástroje, ktoré sú stavané pre úplne iný cieľ.
Cez API je taktiež možné sa dostať k oveľa väčšiemu objemu dát, než sa reálne zobrazuje na stránkach, čo je dôvod, prečo obete takýchto útokov hneď nevedia, aké údaje im boli odcudzené.
Viacerí sú toho názoru, že nejde o prelomenie bezpečnosti, ak sú dáta verejne dostupné. LinkedIn je však vysoko postavená profesijná služba, a tým pádom je na mieste predpokladať, že bude dostatočne chránená pred takou eventualitou, aká sa udiala napríkald minulý mesiac. Veľmi trpkým spôsobom sme však zistili, že tak tomu nie je.
Útočník sa identifikoval ako Tom Liner, vraj sa pripravoval niekoľko mesiacov
Britskej BBC News sa s organizátorom útoku podarilo naviazať kontakt. Konverzácia prebiehala prostredníctvom služby Telegram, a to po dobu troch týždňov. Nie je isté, kde sa konkrétne nachádza, avšak niečo málo o jeho osobnom živote vieme – raz sa vyhovoril, že nemôže telefonovať, nakoľko nechce zobudiť ženu. Má normálne zamestnanie a hackovanie je jeho koníčkom.
Útočník, ktorý odcudzil údaje o 700 miliónoch používateľov, sa identifikoval ako Tom Liner. Ten istý muž stál aj za aprílovým útokom na Facebook, kedy ukradol dáta o 533 miliónoch profilov. Pri oboch útokoch vraj použil takmer tú istú techniku. “Zabralo mi to niekoľko mesiacov. Bolo to veľmi náročné. Musel som sa nabúrať na API LinkedInu. Ak naraz príliš mnohokrát zažiadate o údaje užívateľov, systém vás permanentne zabanuje,” tvrdí Liner.
API programy by mali byť pod prísnejším dohľadom
Do vyšetrovania útoku na LinkedIn sa zapojila aj SOS Intelligence, spoločnosť zameraná na kybernetickú bezpečnosť. Jej riaditeľ, Amir Hadžipašić, tvrdí, že API programy, ktoré poskytujú viac informácií než koľko je verejnosť schopná vidieť, by mali byť pod prísnejším dohľadom a kontrolou. Takéto rozsiahle úniky považuje za znepokujujúce, nakoľko sú v niektorých prípadoch odcudzené aj tak citlivé údaje, ako je osobné telefónne číslo, e-mailová adresa či poloha.
Troy Hunt, odborník na bezpečnosť a majiteľ haveibeenpwned.com, tvrdí, že zneužitie API nepovažuje za prelomenie bezpečnosti, avšak sa do veľkej miery stotožňuje s názorom, že musia byť viac kontrolované. “Nie že by som nesúhlasil s postojom spoločnosti Facebook a ďalších, ale mám pocit, že odpoveď typu “to nie je problém” je síce možno technicky presná, ale chýba jej akýsi cit pre to, aké cenné sú tieto údaje používateľov, a možno aj bagatelizuje úlohu spoločností pri vytváraní týchto systémov” uvádza Hunt.
A čo Tom Liner? Ak sa ho niekedy podarí vypátrať, pravdepodobne bude čeliť viacerým obvineniam z krádeže duševného vlastníctva či porušovania autorských práv. Na otázku, či sa bojí toho, že ho zatknú, poskytol veľmi stručnú odpoveď: “Nie, nikto ma nevie nájsť.” Konverzáciu následne ukončil slovami: “Majte sa pekne.”