Личные данные пользователей LinkedIn выставили на продажу в «теневом интернете»

В среду хакер под псевдонимом «Мир» выставил на продажу 117 миллионов логинов и паролей пользователей LinkedIn. Учитывая, что в социальной сети содержится большое количество конфиденциальной информации, эксперты предлагают пользователям немедленно сменить свой пароль, особенно, если он используется одновременно на нескольких ресурсах.

Сейчас 117 млн почтовых адресов и паролей продаются за 5 биткоинов, что эквивалентно 2275 долларам.

Хакер заявил, что данные были получены благодаря утечке 2012 года, когда на форуме программистов были выложены пароли (в так называемом хэшированном виде) почти 6,5 млн пользователей LinkedIn (это около 4% от 160 млн зарегистрированных на тот момент пользователей). Пользователи подали против LinkedIn коллективный иск, обвинив соцсеть в нарушении отраслевых стандартов по защите персональных данных, небрежности и халатности, а также нарушении договоров с пользователями и ряда законов штата Калифорния, гарантирующих защиту прав потребителей. В результате LinkedIn понесла значительные репутационные потери и спустя 3 года согласилась выплатить пользователям компенсацию, заключив мировое соглашение, но только тем, кто оформил платную подписку на ее сервисы. Как подсчитала газета The New York Times, с учетом того, что часть денег пошла на оплату адвокатов, а общее число пострадавших премиум-юзеров составило около 800 тыс., на каждого из них пришлась компенсация в размере всего $1.

Вскоре после успешного размещения акций LinkedIn на бирже в мае 2011 года появились сведения о низком уровне защиты аккаунтов пользователей соцсети. Эксперты обнаружили уязвимости, которые позволяют потенциальным хакерам получать доступ к личным данным. Как отмечал независимый эксперт в области компьютерной безопасности Риши Наранг, технически проблема связана с cookie-файлами, которые создаются при посещении пользователем той или иной интернет-страницы. Они сохраняются на компьютере и используются для повторной авторизации. Большинство таких файлов «живут» от 30 минут до 2 дней, по истечении этого срока пользователь должен для входа в систему снова вводить пароль. Но, как выяснилось, cookie, которые генерирует LinkedIn, действуют в течение целого года.

В июне 2012 года эксперты Яир Амит и Ади Шарабани выявили недостаток в социальной сети. Оказалось, что приложение LinkedIn для iOS копировало и передавало на сервера компании данные из календаря владельцев смартфона.

В сентябре 2013 года соцсеть обвинили в краже данных пользователей для собственных нужд, в частности, адресов почтовых ящиков для рассылки спама. Согласно судебному иску, LinkedIn, заставляя указывать в качестве имени электронный адрес, получала доступ к адресам в списке контактов пользователя: данные использовались, чтобы рассылать приглашения вступить в сеть. Через 2 года соцсеть согласилась выплатить компенсацию по коллективному иску пользователей.