LinkedIn 抓取背后的人说他抓取了 7 亿个人资料“为了好玩”

上个月，我们报告了 LinkedIn 的一次抓取，该数据泄露了 7 亿用户的数据——约占该服务用户总数的 92%。数据包括位置、电话号码和推断的工资。现在已经确定了背后的人，并说他这样做是“为了好玩”——尽管他也在出售数据……数据抓取是一个有争议的话题。简而言之，它意味着编写一个软件来访问网页，读取显示的数据，然后将其添加到数据库中。更常见的是，人们会出于合法目的使用 Web 服务提供的 API（应用程序编程接口），并使用它来获取大量数据。这是有争议的，因为一方面，那些进行抓取的人可能会争辩说他们只是在访问公开可用的数据——他们只是在以一种有效的方式这样做。其他人则认为，他们滥用的工具并非用于此目的，并且通过 API 提供的数据比在网站上可见的要多，这使得用户很难知道哪些数据已被暴露。甚至在术语上也存在争议。许多安全专家争辩说，如果数据可供公众访问，这不是安全漏洞。我会争辩说，如果像 LinkedIn 这样的服务没有发现有人抓取了数亿条记录，那就是一个巨大的安全故障。 BBC 新闻采访了以汤姆·莱纳 (Tom Liner) 名义获取数据的人。

如果您的所有信息都被黑客编目并放入一个包含数百万条目的庞大电子表格中，然后在线出售给收入最高的网络犯罪分子，您会有什么感觉？这就是自称为 Tom Liner 的黑客上个月所做的“为了好玩”，当时他编译了一个包含来自世界各地的 7 亿 LinkedIn 用户的数据库，他的售价约为 5,000 美元（3,600 英镑；4,200 欧元）[...]以 Liner 先生为例，他的最新漏洞是在英国夏令时 08:57 在臭名昭著的黑客论坛 [...] 的一篇帖子中宣布的，“嗨，我有 7 亿条 2021 年的 LinkedIn 记录”，他写道。帖子中包含一个指向 100 万条记录样本的链接，并邀请其他黑客私下联系他并让他为他的数据库提供报价。 Liner 表示，他也是 4 月份抓取 5.33 亿份 Facebook 个人资料的幕后推手（你可以检查你的数据是否被盗）。汤姆告诉我，他使用“几乎完全相同的技术”创建了 7 亿的 LinkedIn 数据库，这与他用来创建 Facebook 列表的技术完全相同。他说：“我花了几个月的时间才完成。这是非常复杂的。我不得不破解LinkedIn的API。如果您一次对用户数据进行过多请求，那么系统将永久禁止您。” LinkedIn 否认 Liner 使用了其 API，但网络安全公司 SIS Intelligence 表示，我们需要对其使用进行更多控制。

首席执行官阿米尔·哈季帕希奇 (Amir Hadžipašić) 表示，此事件以及其他大规模抓取事件中的细节并不是大多数人期望在公共领域中获得的。他认为 API 程序提供的用户信息比普通大众所能看到的更多，应该受到更严格的控制。 “在某些情况下，考虑到这些信息的复杂细节，例如地理位置或私人手机和电子邮件地址，这样的大规模泄漏令人担忧。 “对于大多数人来说，这些 API 扩充服务拥有如此多的信息会让人感到惊讶。安全专家和haveibeenpwned.com 的所有者Troy Hunt 表示，他不认为API 滥用是安全漏洞，但大部分同意需要更多控制。 “我不反对 Facebook 和其他人的立场，但我觉得‘这不是问题’的回应是，虽然在技术上可能是准确的，但忽略了这些用户数据的价值以及他们可能淡化他们的观点。在创建这些数据库中拥有自己的角色。”您正在阅读 9to5Mac — 日复一日地发布有关 Apple 及其周边生态系统新闻的专家。请务必查看我们的主页以获取所有最新消息，并在 Twitter、Facebook 和 LinkedIn 上关注 9to5Mac 以了解最新消息。不知道从哪里开始？查看我们的独家故事、评论、操作方法，并订阅我们的 YouTube 频道