Nieuw datalek

Een nieuw datalek bij Linkedin: moet ik mij zorgen maken?

  • 4 October 2021
  • 16 reacties
  • 4606 Bekeken
Een nieuw datalek bij Linkedin: moet ik mij zorgen maken?
Reputatie 4
Badge +7

Iemand vraagt het Privacyloket: ‘Webbrowser Firefox waarschuwde dat mijn gegevens op straat zouden liggen, door een nieuw lek bij Linkedin. Moet ik mij zorgen maken?’

Het Privacyloket antwoordt:

Inmiddels meldt ook ‘datalekkenwebsite’ Haveibeenpwnd.com of iemands mailadres voorkomt in dit nieuwe Linkedin-lek. Waar gaat het om bij dit nieuwe lek? Van 400 miljoen Linkedinprofielen zijn voorjaar 2021 (en mogelijk ook eerder) gegevens gekopieerd (‘gescraped’ in het jargon). Die 400 miljoen is iets meer dan de helft van het totaal aantal gebruikers.

Het gaat om allerlei publieke gegevens uit LinkedIn profielen: naam, adres, geslacht, functie/beroep en sociale media-profiel-info. Ook zitten er 125 miljoen e-mailadressen bij. Al deze gegevens zitten in enkele te downloaden bestanden die je sinds kort gratis kunt downloaden (van obscure sites). Criminelen vroegen er eerst nog geld voor. Er zitten gelukkig geen wachtwoorden bij en - zoals wij het begrepen hebben - ook geen telefoonnummers.

Maar wat is dan het probleem? Het gaat toch om gegevens die mensen zelf op Linkedin hebben gezet, dus met het publiek gedeeld? Dat is ook precies de reactie van Linkedin. Het bedrijf weigert dan ook van een datalek te spreken. Ik zou zeggen dat hier wel degelijk van een datalek sprake is, omdat de persoonsgegevens anders worden gebruikt dan bedoeld, ook de definitie van de Autoriteit Persoonsgegevens. De Ierse privacywaakhond is een onderzoek gestart. Dat gaat waarschijnlijk nog wel even duren.

De miljoenen bij elkaar geschraapte Linkedin-gegevens kunnen worden gebruikt voor gehaaide phishing-aanvallen. Aan die lijst van 125 miljoen mailadressen uit Linkedin kunnen de criminelen mails sturen waarin ze allerlei (ook gelekte) persoonlijke informatie kunnen gebruiken om vertrouwen te wekken. Behalve de naam kun je dan denken aan beroep en/of de functie.

Eerder lekten al de gegevens van meer dan 500 miljoen Facebookgebruikers (waarvan 5 miljoen Nederlanders). Hierbij ging het om het telefoonnummer, naam, relatiestatus, naam werkgever, et cetera. Als je de gelekte gegevens van Facebook en Linkedin aan elkaar smeedt, heb je gevaarlijk veel informatie om te misbruiken!

Wees dus superalert op de gegevens die vrijkomen door datalekken, ook de ‘onschuldige’ datalekken, zoals deze. Weet welke data criminelen kunnen gebruiken om jouw vertrouwen te winnen, in mails, aan de telefoon of in appjes (WhatsApp). Schrijf je in op de e-mail-alert-service van Haveibeenpwnd.com (kies bovenin: Notify me). Dan krijg je automatisch een berichtje wanneer je in een nieuw lek voorkomt en zie je welke gegevens het betreft.

In de rubriek Privacyloket binnen het forum van de Consumentenbond beantwoordt Peter Kulche jouw privacyvragen. Heb jij zelf een privacyvraag, stuur die dan naar privacyloket (at) consumentenbond.nl. Je kunt meepraten over dit onderwerp via de reactiefunctie onder deze pagina.


16 reacties

Badge
  1. Had LinkedIn dit niet aan de gebruikers moeten melden?
  2. Ik zie dat een e-mailadres van mij op die lijst blijkbaar voorkomt het vreemde is dat ik bij LinkedIn altijd een ander e-mailadres heb gebruikt… Hoe kan dat?
  3. Via die link staat er ook bij dat ook wachtwoorden zijn ontvreemd, maar jullie zeggen van niet. Graag meer duidelijkheid wie hoe dat zit.
Reputatie 5
Badge +4

@ERODUS 

Een opmerking tav QuinStreetuw punt 2: 

Die lijst betreft niet alleen Linkedin maar ook andere services waar dit gebeurd kan zijn, het is dus geen exclusieve “linkedin lijst”.

 

Mijn mail account voor Linkedin : exclusief alleen daar voor en het heeft geen problemen volgens https://haveibeenpwned.com/.

Kijk ik naar het mail adres dat ik voor webshops e.d. gebruikt dan worden er  voor dat mail adres 3 lekken gemeld:

 

  • Last.fm: In March 2012,…..
  • MyHeritage: In October 2017
  • Ticketcounter: In August 2020, 

Voor de laatste kijg ik de meeste waarschuwingen. Ik verwacht toch wel dat de andere 2 al iets gedaan hebben…..

Andere mail adressen voor persoonlijke mail zijn ook OK. De leks zitten ij mij vnl bij de bedrijven en daarom blijft het verstandig om daar en separaat mail adres te hebben, 

 

Reputatie 4
Badge +7
  1. Had LinkedIn dit niet aan de gebruikers moeten melden?
  2. Ik zie dat een e-mailadres van mij op die lijst blijkbaar voorkomt het vreemde is dat ik bij LinkedIn altijd een ander e-mailadres heb gebruikt… Hoe kan dat?
  3. Via die link staat er ook bij dat ook wachtwoorden zijn ontvreemd, maar jullie zeggen van niet. Graag meer duidelijkheid wie hoe dat zit.

Linkedin had ook jaren geleden een datalek. Daarbij zijn wel wachtwoorden gestolen. Miljoenen, zelfs. Het lek staat hier beschreven op de site van Haveibeenpwnd: https://www.troyhunt.com/observations-and-thoughts-on-the-linkedin-data-breach/ . Waarschijnlijk geeft Haveibeenpwnd je een waarschuwing voor dit oude lek. 

 

 

Een datalek is een ander woord voor “Ons bedrijf heeft zoveel gevoelige informatie dat je gek bent dat niet te verkopen en er niet eens voor gestraft worden, omdat we slachtoffer lijken van boosaardige hackers”. Waarom willen veel bedrijven anders zoveel privégegevens waar ze in eerste instantie niks aan hebben. En waarom moet je te pas en te onpas overal accounts aanmaken, ook al is dat niet nodig. Ze willen allemaal een graantje meepikken. 

Reputatie 7
Badge +4

een feitelijke onderbouwing van deze uitspraak lijkt mij op z'n plaats. Anders blijft ie bij mij hangen in het mandje ‘het stond op faceboek dus is het waar’.

Er staan in Maja’s reactie wel twee belangrijke vragen (helaas zonder vraagteken). Daar gaat het denk ik om: waarom wordt je soms de gekste dingen gevraagd terwijl dat nergens voor nodig is?

Jullie hebben natuurlijk gelijk! Het zijn mijn eigen hersenspinsels. Een knuppel in het hoenderhok. Maar het zou leuk zijn als onderzoekers iets boven water krijgen. Over het algemeen, als er ergens geld mee valt te verdienen, zijn er altijd mensen die dat proberen. Ethisch of niet. We blijven er massaal met open ogen in trappen: Facebook etc.

Het verzamelen van overbodige gegevens is verboden en het verkopen van gegevens ook. Ik zie sowieso het verband niet met datalekken

Als je data verkoopt onder het mom van een lek, kan justitie je niks maken, zolang je de winst witwast.

Zover ik weet is overbodige info vragen niet strafbaar. Misschien je sofienr wel, buiten overheidsinstanties. Maar iedereen mag naar je tel.nr. vragen. Zo’n vraag hoef je niet te beantwoorden, maar dan krijg je geen account.

Reputatie 7
Badge +4

dat is onjuist. de avg wetgeving heeft geregeld dat je alleen informatie mag vragen voor het doel van de handeling. doelbinding, met een avg-woord. 

en als bedrijf zou je wel gek zijn om te dien alsof er een datalek was, elk weldenkend bedrijf wil niet geassocieerd worden met datalekken. 

en het klopt dat er overal oplichters te vinden zijn. maar als je je een beetje verdiept in de website waar je zaken mee wilt doen dan pik je die er wel uit.

Als je data verkoopt onder het mom van een lek, kan justitie je niks maken, zolang je de winst witwast.

En dat acht u nogal een realistisch scenario?

 

Zover ik weet is overbodige info vragen niet strafbaar.

Alle info die je vraagt moet een doel dienen 

 

Misschien je sofienr wel, buiten overheidsinstanties. Maar iedereen mag naar je tel.nr. vragen. Zo’n vraag hoef je niet te beantwoorden, maar dan krijg je geen account.

Ik stel voor dat u zich eens inleest in de AVG wetgeving. Zo is bij een account een telefoonnummer best logisch als er contact opgenomen moet worden.

 

Verder worden bedrijven geacht hun beveiliging op orde te hebben, dat is natuurlijk geen garantie dat er nooit een datalek op zal treden maar het is als met inbraakbeveiliging, je moet reële maatregelen nemen en dat betekent ook niet dat ze nooit binnen kunnen komen.

Als een bedrijf groot is hoeft er maar 1 werknemer te zijn die lekt. En als het bedrijf klein is maakt het niet uit dat het over de kop gaat. Het meeste geld is toch al weggesluisd naar andere bedrijfjes.

Wordt er ook vanuit de avg gehandhaafd op vragen naar je tel.nr.? En als het bedrijf in het buitenland zit?

Reputatie 7
Badge +4

lees je even in in de avg wetgeving, google kan je helpen zoeken.

en wat je zegt over lekken is een waarheid als een koe, maar dat zegt verder niks

Als een bedrijf bij een account contact op wil nemen is niet persé een tel.nr. nodig, daarvoor hebben we tegenwoordig de email.

Als een bedrijf bij een account contact op wil nemen is niet persé een tel.nr. nodig, daarvoor hebben we tegenwoordig de email.

Dat is de omgekeerde redenering, de eis is niet waar je minimaal mee uit de voeten zou kunnen maar wat logisch en redelijk is.

Criminelen houden zich niet aan logisch en redelijk.

De avg is leuk aan de goeie kant van de wet.

Reëel is dat de gewone burger de pineut is.

Reageer