לא פריצה — סקראפינג: כך נחשפים מיליוני משתמשים בלי שמערכות נפרצות

Representational image of a data breach

This post is also available in: English (אנגלית)

מערך נתונים חדש שנחשף, הכולל מיליוני פרופילים שנאספו מלינקדאין באמצעות סקראפינג (scraping), מעורר מחדש דאגות בנוגע לקלות שבה ניתן לאסוף, לאגד ולהשתמש מחדש במידע מקצועי — ללא ידיעת המשתמשים. בשונה מפריצה רגילה, סקראפינג אוסף מידע שמשתמשים פרסמו מרצון, אך כאשר הנתונים מועתקים בכמות גדולה, הם הופכים יקרים הרבה יותר לשחקנים זדוניים לעומת עיון בפרופיל אחד בכל פעם.

בדיקות ראשוניות של מערך הנתונים שדלפו מגלות כי הוא מכיל כמה מיליוני רשומות פרופיל, ובהן שמות, תפקידים, שיוך ארגוני, היסטוריית תעסוקה, מיומנויות, מיקומים, קישורי פרופיל — ובחלק מהמקרים גם פרטי קשר שהמשתמשים פרסמו מרצונם. הדליפה כוללת גם נתוני מטא־דאטה מסודרים, כגון תגיות ענף, אינדיקציות לוותק תעסוקתי ומאפייני רשת מקצועית, שמאפשרים לתוקפים למיין מטרות לפי תפקיד, אזור או ארגון.

למרות שלא נראה שמערכות פנימיות של לינקדאין נפרצו, היקף ואופן הארגון של הנתונים שנאספו הופכים את האירוע למשמעותי. פרופיל שנראה תמים כשהוא מוצג לבדו הופך לסיכון כשהוא משולב בתוך בסיס נתונים הניתן לחיפוש, לייצוא, לקנייה ומכירה — או לחיבור עם דליפות קודמות.

כאשר מאגדים נתוני קריירה בהיקף גדול, הם מאפשרים ליריבים לבצע את המהלכים הבאים:

  • מיפוי של מבני ארגונים כדי להבין מי נמצא היכן בחברה או בסוכנות.
    • זיהוי בעלי גישה למערכות רגישות, סמכות רכש או מומחיות טכנית.
    • יצירת מתקפות פישינג ממוקדות ומשכנעות המבוססות על פרטי תפקיד מדויקים.
    • שילוב נתוני לינקדאין שנאספו עם דליפות ארגוניות קודמות לצורך בניית תיקי מידע עמוקים על עובדים.
    • מעקב אחר תנועות קריירה של עובדים המעורבים בתוכניות ביטחוניות או בתפקידים בעלי רגישות לאומית.

במונחים מבצעיים, מאגרי מידע כאלה הופכים לכלי סיור לכל דבר.

על פי דיווח של CyberNews, הדליפה מצטרפת לאירועים קודמים בקנה מידה עצום: מסד הנתונים הלא מאובטח של Apollo.io משנת 2018 שכלל מיליארדי רשומות, דליפת People Data Labs משנת 2019 שהשפיעה על 622 מיליון אנשים, וחשיפה נוספת הכוללת 170 מיליון רשומות שיוחסה ל-PDL בשנה שעברה. האירועים הללו ממחישים עד כמה מידע מקצועי וזהות תעסוקתית מתגלגלים בקלות ברגע שנאספו.

במאמץ לצמצם את תופעת הסקראפינג, לינקדאין הגישה לאחרונה תביעה נגד חברת ProAPIs, בטענה כי יצרה מאות אלפי חשבונות פיקטיביים כדי לאסוף מידע על משתמשים. החברה טוענת כי סקראפינג כזה חושף משתמשים להונאות, לספאם אוטומטי ולמכירת מידע אישי ללא אישור.

ככל שהפלטפורמות המקצועיות ממשיכות לגדול, אירועי סקראפינג רחבי היקף כבר אינם בעיה שולית בתחום הסייבר — אלא סיכון ישיר לארגונים ולאנשים הפועלים בתחומים רגישים.

למידע נוסף הרשמה לניוזלטר

RELATED ARTICLESMORE FROM AUTHOR