Veri kazıma yöntemiyle LinkedIn profil bilgilerini satışa çıkaran saldırganlar, forumda kullanıcıların tam adlarını, e-posta adreslerini, sosyal medya bağlantılarını ve diğer profil ayrıntılarını içeren örnekleri paylaştı.
Veriler herkese açık olsa da tüm bu bilgilerin el altında olması, kötü niyetli aktörlerin sosyal mühendislik hedeflerini ceza almadan hızlı ve kolay bir şekilde seçmesini kolaylaştırıyor. Buna rağmen, LinkedIn veri kazımayı bir güvenlik sorunu olarak ele almak istemiyor. Öyle ki şirket, 700 milyon profilin veri kazımasının ardından Haziran ayında yaptığı açıklamada, “Ekiplerimiz, satış için yayınlanan bir dizi iddia edilen LinkedIn verisini araştırdı. Bunun bir veri ihlali olmadığını ve hiçbir özel LinkedIn üye verisinin ifşa edilmediğini açıklığa kavuşturmak istiyoruz.” açıklamasında bulunmuştu.
Forum yazarı tarafından sunulan örnek, 154 bin 204 kullanıcı e-posta adresini içeren 632 bin 699 yeni LinkedIn profilini kapsıyor. Örnekteki veriler ise şu bilgileri içeriyor:
- LinkedIn kimlikleri
- Tam adlar
- E-mail adresleri
- Telefon numaraları
- LinkedIn profil URL’leri
- Diğer sosyal medya profillerine bağlantılar
- Cinsiyet
- Doğum tarihleri
- Konumlar
- Mesleki unvanlar ve işle ilgili diğer veriler
Veriler, tehdit aktörleri tarafından çeşitli şekillerde kullanılabilir. Kimlik avcıları ve spam gönderenler, yeni kurbanlar bulmak için genellikle kazıyıcılardan elde edilen verileri kullanır. Örneğin, kamuya açık iletişim bilgilerini ayıklayabilir ve bunları, kullanıcıları kişisel bilgilerini ve bankacılık ayrıntılarını ifşa etmeleri için manipüle edebilecekleri otomatik aramalar, spam listeleri ve sosyal mühendislik saldırıları için kullanabilirler.
Birçok web uygulaması, botlar ve tehdit aktörleri tarafından veri toplanmasına karşı korunmaya yardımcı olmak için kazıma azaltma araçlarını kullanıyor. Şimdiye kadar LinkedIn ise veri kazımayı engellemek için herhangi bir önlem uygulamadı.