linked in logo

NurPhoto

Koliko detalja objavljujete na vlastitom profilu na društvenim mrežama?

Ime, mesto, starost, pozicija na poslu, bračni status, fotografija lica?

Količina informacija koja je ljudima ugodna za deljenje varira.

Ali većina ljudi prihvata da je sve što podelimo na našoj stranici javnog profila u javnom domenu.

Pa, kako biste se osećali kada bi sve vaše podatke haker obradio i stavio u čudovišnu tabelu miliona ljudi da bi se prodali na internetu najplaćenijem sajber-kriminalcu?

To je prošlog meseca „iz zabave“ uradio haker koji sebe naziva „Tom Lajner“, kada je sastavio bazu podataka od 700 miliona korisnika Linkdina iz celog sveta koja se prodaje za oko 5.000 dolara.

Ovaj incident i drugi slični slučajevi „izvlačenja“ na društvenim mrežama izazvali su žestoku raspravu o tome da li osnovne informacije koje javno delimo na našim profilima treba bolje zaštititi ili ne.


Bilo je 8:57 ujutru po britanskom vremenu, kada se objava pojavila na zloglasnom forumu za hakovanje.

Bio je to neobično civilizovan čas za hakere, ali naravno da nemamo predstavu u kojoj vremenskoj zoni živi haker – koji sebe naziva „Tom Lajner“.

„Zdravo, imam 700 miliona zapisa Linkdina za 2021. godinu“, napisao je.

U objavi je bio link uzorka od milion zapisa i poziv drugim hakerima da privatno kontaktiraju sa njim i daju mu ponude za bazu podataka.

Srećni kupci

Razumljivo je da je prodaja izazvala popriličnu senzaciju u svetu hakovanja i Tom mi kaže da prodaje ulog „mnogim“ srećnim kupcima za oko 5.000 dolara.

Neće reći ko su njegovi kupci niti zašto bi želeli ove podatke, ali kaže da se podaci verovatno koriste za dalje zlonamerne kampanje hakovanja.

Vest je takođe pokrenula diskusiju u svetu sajber-bezbednosti i privatnosti o tome da li bi trebalo da budemo zabrinuti zbog ovog rastućeg trenda mega izvlačenja.

Te se baze podataka ne stvaraju upadanjem na servere ili veb stranice društvenih mreža.

Uglavnom se izrađuju izvlačenjem površine platforme usmerene prema javnosti pomoću automatskih programa za preuzimanje svih podataka o korisnicima koji su slobodno dostupni.

U teoriji, većina podataka koji se prikupljaju mogli bi se naći jednostavnim odabirom pojedinačnih stranica profila na društvenim mrežama. Iako bi, naravno, trebalo više života da se prikupi toliko podataka koliko su hakeri u stanju da urade.

Do sada su se dogodila još tri velika incidenta sa „izvlačenjem“:

– U aprilu je haker prodao još jednu bazu podataka sa oko 500 miliona zapisa izvučenih sa Linkdina.

– Iste nedelje je još jedan haker besplatno objavio bazu podataka sa 1,3 miliona Klabhaus profila na forumu.

– Takođe u aprilu, 533 miliona korisničkih podataka na Fejsbuku prikupljeno je iz mešavine starih i novih izvlačenja pre nego što su podeljeni na hakerskom forumu sa zahtevom za donacijama.

Mark Zuckerberg gestures with arms open in front of a padlock symbol on stage during a privacy speech

Getty Images
Fejsbuk je takođe napadnut

Haker odgovoran za tu bazu podataka na Fejsbuku je: „Tom Lajner“.

Razgovarao sam sa Tomom tokom tri nedelje putem poruka na aplikaciji Telegram.

Neke poruke, pa čak i propušteni pozivi, upućivani su usred noći, a drugi u radno vreme, tako da nije bilo moguće zaključiti išta o njegovoj lokaciji.

Jedini trag o njegovom normalnom životu bili su kada je rekao da ne može razgovarati telefonom dok njegova supruga spava i da ima dnevni posao, a hakovanje mu je „hobi“.

Ko je sve u opasnosti od sajber napada
The British Broadcasting Corporation

„Veoma složen posao“

Tom mi je rekao da je stvorio bazu od 700 miliona Linkdin korisnika koristeći „gotovo potpuno istu tehniku“ koju je koristio za stvaranje Fejsbuk popisa.

„Trebalo mi je nekoliko meseci da to uradim. Bilo je vrlo složeno. Morao sam da hakujem API Linkdina.

„Ako u isto vreme predate previše zahteva za korisničkim podacima, sistem će vas trajno zabraniti“, rekao je.

API je skraćenica od „interfejs za programiranje aplikacija“, a većina društvenih mreža prodaje API partnerstva omogućavajući drugim kompanijama pristup podacima platforme, na primer za marketing ili izgradnju aplikacija.

Privacy Shark, koja je prva otkrila prodaju baze podataka, ispitala je besplatni uzorak i utvrdila da sadrži puna imena, imejl adrese, pol, brojeve telefona i podatke o zaposlenju.

„Nije kršenje“

Linkdin kaže da njihovi dokazi sugerišu da Tom Lajner nije koristio njihov API, ali je potvrdio da skup podataka „uključuje informacije izvučene sa Linkdina, kao i podatke dobijene iz drugih izvora“.

Dodaju i da „ovo nije kršenje podataka Linkdina i nisu otkriveni privatni podaci članova Linkdina.

Izvlačenje podataka sa Linkdina predstavlja kršenje naših Uslova korišćenja usluga i neprestano radimo na tome da zaštitimo privatnost naših članova.“

Kao odgovor na aprilsko izvlačenje podataka, Fejsbuk je takođe odbacio incident kao staro izvlačenje.

Međutim, činjenica da hakeri zarađuju od ovih baza podataka zabrinjava neke sajber stručnjake.

„Složen detalj ukraden“

Generalni direktor i osnivač SOS obaveštajne službe, Amir Hadžipašić, danonoćno hara hakerskim forumima.

Čim su se proširile vesti o bazi od 700 miliona korisnika Linkdina, on i njegov tim započeli su analizu podataka.

„Ovakva curenja velikih razmera su zabrinjavajuća s obzirom na zamršene detalje u nekim slučajevima ovih podataka, kao što su geografske lokacije ili privatne adrese mobilnih telefona i imejl adrese.“

„Za većinu ljudi će biti iznenađenje da ove usluge za obogaćivanje API-a imaju toliko podataka“, rekao je.

Tom Lajner kaže da zna da će se njegova baza podataka verovatno koristiti za zlonamerne napade.

Kaže da mu to „smeta“, ali nije rekao zašto i dalje nastavlja sa operacijom izvlačenja.

Amir kaže da bi hakeri koji kupuju Linkdin podatke mogli da ih koriste za pokretanje ciljanih kampanja hakovanja na ciljeve visokog nivoa poput šefova kompanija, na primer.

Takođe je rekao da vrednost ima ogroman broj aktivnih imejl adresa u bazi podataka koje se mogu koristiti za slanje masovnih fišing kampanja putem imejlova.

„Podaci su javni“

Stručnjak za sajber bezbednost Troj Hant, koji veći deo svog radnog veka provodi prelivajući sadržaj hakovanih baza podataka na svoju veb stranicu haveibeenpwned.com, manje je zabrinut zbog nedavnih incidenata sa izvlačenjem i kaže da ih moramo prihvatiti kao deo deljenja našeg javnog profila.

„To definitivno nisu kršenja. Ionako je većina ovih podataka javna.“

„Međutim, u svakom slučaju treba postaviti pitanje koliko je tih informacija po izboru korisnika javno dostupno i za koliko se ne očekuje da budu javno dostupna.“

Troj se slaže sa Amirom da kontrolu nad API programima društvenih mreža treba poboljšati i kaže da ne možemo isključiti ove incidente.

„Ne slažem se sa stavom Fejsbuka i drugih, ali smatram da odgovoru ‘ovo nije problem’, iako je tehnički tačan, nedostaje osećaj koliko su važni ovi korisnički podaci i time se možda umanjuje vlastita uloga kompanija u stvaranju ovih baza podataka.“

Tomove akcije će ga verovatno dovesti do toga da bi društvene mreže mogle da ga tuže zbog krađe intelektualnog vlasništva ili kršenja autorskih prava.

Ali, na pitanje da li je zabrinut zbog hapšenja, rekao je da ga niko neće moći pronaći, a naš razgovor je završio rečima „uživaj u ostatku dana“.


Pratite nas na Fejsbuku i Tviteru. Ako imate predlog teme za nas, javite se na bbcnasrpskom@bbc.co.uk