-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Skopiowali profile z LinkedIn z użyciem Amazon EC2 Cloud Service

13 stycznia 2014, 14:27 | Aktualności | komentarzy 13

Serwis LinkedIn prowadzi dochodzenie w sprawie nieznanej grupy przestępców, nazwanej roboczo „Doe”, która od maja 2013 roku przy użyciu setek botów rejestrowała tysiące fałszywych kont w portalu społecznościowym LinkedIn. Zarejestrowane konta były następnie używane do tzw. scrapingu, czyli wyciągania bezpośrednio ze źródła HTML strony i kopiowania danych użytkowników. Wykorzystywano do tego celu zarejestrowane konta-automaty, które odwiedzały profile rzeczywistych członków LinkedIn i pobierały z nich dane.

LinkedIn posiada w tej chwili około 260 milionów zarejestrowanych użytkowników. Wśród nich przeważają specjaliści z branży finansowej, informatycznej oraz medycyny i nauki. Dane zgromadzone na tych profilach to bardzo łakomy kąsek dla wszelkiej maści internetowych przestępców, którzy, mając dość precyzyjne informacje, są w stanie przygotować bardzo spersonalizowane ataki oparte na socjotechnice.

Regulamin serwisu zabrania tego typu praktyk – wyraźnie mówi o tym punkt 3. regulaminu serwisu:

On the condition that you comply with all your obligations under this Agreement, including, but not limited to, the Do’s and Don’ts listed in Section 10, we grant you a limited, revocable, nonexclusive, nonassignable, nonsublicenseable license and right to access the Services, through a generally available web browser, mobile device or LinkedIn authorized application (but not through scraping, spidering, crawling or other technology or software used to access data without the express written consent of LinkedIn or its Members), to view information and use the Services that we provide on LinkedIn webpages and in accordance with this Agreement. Any other use of LinkedIn contrary to our mission and purpose (such as seeking to connect to someone you do not know or trust, or to use information gathered from LinkedIn commercially unless expressly authorized by LinkedIn) is strictly prohibited and a violation of this Agreement.
LinkedIn wniósł więc oficjalne oskarżenie do sądu okręgowego w Północnej Kalifornii.
Przestępcy opracowali technikę tworzenia botów, które w trakcie rejestracji były w stanie ominąć mechanizmy typu captcha czy wykorzystanie informacji zgromadzonych w pliku robots.txt (wykaz adresów, które nie powinny być indeksowane przez boty wyszukiwarek, np. linki do stron z danymi o sieci kontaktów w portalu LinkedIn itp.).
            
            # Notice: If you would like to crawl LinkedIn,
            # please email whitelistcrawl@linkedin.com to apply 
            # for white listing. 

            User-agent: Googlebot
            Disallow: /addContacts*
            Disallow: /addressBookExport*
            Disallow: /analytics/
            Disallow: /answers*
            Disallow: /cap/
            Disallow: /companyDir*
            Disallow: /connections*
            Disallow: /edurec*
            Disallow: /endorsements
            Disallow: /find/

            (...)

 

Fragment pliku robots.txt serwisu LinkedIn

Istotną informacją w kontekście tego zdarzenia jest to, że przestępcy korzystali z usług Amazon Elastic Compute Cloud (Amazon EC2) oferowanych w ramach Amazon Web Service (AWS). To umożliwiało im uzyskanie pełnej „elastyczności” w dysponowaniu zasobami w trakcie przeprowadzania scrapingu. Dzięki temu byli w stanie w prosty sposób zwiększyć skalę całego ataku.

Nie był to pierwszy przypadek wykorzystania platformy Amazon EC2 w podobnej działalności. W 2009 i 2011 roku na serwerach Amazon EC2 zostały znalezione nawet trojany bankowe, które były tam hostowane (Amazon cloud hosts nasty banking trojan | The Register).

Prawnicy serwisu LinkedIn zapowiadają, że nie spoczną, dopóki nie doprowadzą do skazania winnych. Jak sami zapowiadają, sukces zależy między innymi od tego, czy przestępcy do zakupienia usługi Amazona użyli możliwych do wyśledzenia adresów IP czy też płatności.

źródła:

Hackers use Amazon cloud to scrape mass number of LinkedIn member profiles | Arstechnica

–bl4de

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kamil

    Nic w tym nadzwyczajnego. Jeżeli coś jest dostępne w publicznej sieci to osoby które chcą coś zescrapować i tak to zrobią i nie pomoże tutaj żaden JavaScript czy tokeny i inne głupoty obciążające serwer (mówię z doświadczenia po obu stronach)

    Odpowiedz
  2. Qba

    „(…) sukces zależy między innymi od tego, czy przestępcy do zakupienia usługi Amazona użyli możliwych do wyśledzenia adresów IP czy też płatności.”- Prawdopodobienstwo ze mogli zrobic cos tak glupiego jest niezwykle niskie…

    Odpowiedz
  3. bl4de

    @Qba

    No wiesz, to jest oficjalne stanowisko LinkedIna w tej sprawie. Raczej nie spodziewałbym się w takim oświadczeniu usłyszeć czegoś innego ;)

    Marketing i PR przede wszystkim… ;)

    Odpowiedz
  4. Marek

    Jest firma ktora oferuje sie z takimi uslugami, jednoczesnie zapewniac, ze ” Stosowane techniki skutecznie ukrywają proces pozyskiwania danych i nie narażają analizowanej strony na przeciążenie a także zapewniają anonimowość. ” [moderated] ;]

    Odpowiedz
  5. bl4de

    @Marek

    Właśnie, trochę też zastanawiające jest, że sprawcy tego zdarzenia poszli po całości i skorzystali z Amazona.

    To trochę jak próbować sprzedać kradziony samochód poprzez np. komis przy autoryzowanym salonie :)

    Odpowiedz
  6. MateuszM

    @bl4de – automatyzacja, chmura, moc! :-)

    Teraz wyjaśnijcie mi w czym tak na prawdę tkwi problem z „przeoraniem” LinkedIn-a w świetle bezpieczeństwa bo ja widzę tu tylko naruszenie regulaminu.

    Skoro ktoś się zapisał do tego serwisu i udostępnił w nim swoje dane w celu lansowania swojej osoby to chyba po to aby cały świat się o nim dowiedział.

    Chyba ciągle ludzie nie rozumieją, że udostępnienie danych w serwisach społecznościowych (i podobnych) jest równoznaczne z ich upublicznieniem i należy tam umieszczać tylko to co chcemy aby cały świat wiedział o nas i to na zawsze.

    Czym innym są serwisy zamknięte i dostępne tylko dla określonych osób np. dla klientów. Tam możemy zakładać, że nasze dane nie wydostaną się na świat.

    Odpowiedz
    • @MateuszM – Problem z „przeoraniem” LinkedIN.
      Wiesz, chodzi tu o złamanie bezpieczeństwa proceduralnego (zart;)

      Odpowiedz
  7. bl4de

    @MateuszM

    Problem tkwi w tym, że będąc użytkownikiem nie-premium serwisu LinkedIn, masz ograniczone możliwości choćby w przeglądaniu profili osób, które nie znajdują się w Twojej sieci zawodowej.

    Za pełen dostęp do wszystkich oraz za korzystanie z pełnej funckjonalności serwisu danych musisz płacić od 14.95 EUR do nawet 53.95 EUR miesięcznie (w zależności od pakietu).

    Odpowiedz
  8. młody

    @MateuszM

    „Skoro ktoś się zapisał do tego serwisu i udostępnił w nim swoje dane w celu LANSOWANIA swojej osoby to chyba po to aby cały świat się o nim dowiedział.”

    Ręce opadają …..

    Do lansowania służą w 99% portale społecznościowe .

    A Linkedln może porównać do gazety w której są TYLKO ogłoszenia o pracę .

    Z tym że czytelnikiem tej gazety jest nasz potencjalny pracodawca .
    Bo sobie popatrzy na kogoś CV ,umiejętności ,doświadczenie itd .

    Odpowiedz
  9. MateuszM

    Dzięki za wyjaśnienie @bl4de.

    @młody podnieś ręce i przeczytaj *ze zrozumieniem* co napisałem. Sam prawie w 100% to powtórzyłeś w swojej wypowiedzi.

    LinkedIn to kolejny ogólnodostępny portal społecznościowy a od FB różni go głownie to, że ma określoną tematykę – biznes i kariera. Każdy może stworzyć w nim konto: studenciak szukający pracy ale też i przestępca szukający ofiary.

    Czy możesz zagwarantować, że do tej pory na LinkedIn nie było oszustów, którzy przeglądali profile userów w niecnych/nieregulaminowych celach? Może nie robili tego automatycznie ale na pewno już to robili.

    Odpowiedz
  10. bl4de

    @MateuszM

    Porównywanie LinkedIn do Facebooka nieco moja się z celem.

    1. Przede wszystkim, Li to bardzo wąsko zorientowany portal – tak naprawdę profile na nim zakładają ludzie z kilku branż (szeroko rozumiane zawody inżynierskie, w tym IT, medycyna, zarządzanie, marketing, HR)

    2. Jak już wcześniej wspomniałem, do bardziej zaawansowanych działań, np. wyszukiwanie osób według określonych kryteriów i dostęp do ich pełnych profili, wymaga opłacenia abonamentu miesięcznego. To czyni go raczej już portalem tylko dla naprawdę zainteresowanych.

    W 95% z tej funkcjonalności korzystają rekruterzy. I działa to znakomicie (tygodniowo otrzymuję co najmniej kilka ofert pracy, większość z Niemiec, Wlk. Brytanii, Irlandii, Norwegii i Holandii, oczywiście są też oferty z Polski).

    Dla dziewczyn od HR z mojej firmy (duża angielska firma, soft dla banków, 8 oddziałów na świecie, ponad 600 osób, w tym ok. 500 programistów) Li to jedno z podstawowych narzędzi w pracy :)

    > Każdy może stworzyć w nim konto: studenciak szukający pracy ale też i przestępca szukający ofiary.

    3. Yep, jest tylko małe „ale”. Fałszywe dane podane w profilu Li można bardzo łatwo zweryfikować.

    Poza tym, że tak się wyrażę „koneksje” na Li wyrabia się w nieco odmienny sposób. Z reguły do swojej sieci zawodowej przyjmujesz osoby, które:
    – pracują z Tobą aktualnie
    – pracowały w poprzednich firmach
    – poznałeś na konferencji, szkoleniu itp. i chcesz utrzymywać kontakt
    – ewentualnie rekruterów, którzy zajmują się head huntingiem w Twojej specjalizacji

    Podumowując – Li spełnia swoje podstawowe zadanie – budowanie sieci kontaktów zawodowych, i robi to, jak na serwis internetowy, bardzo dobrze. FB spełnia zupełnie inną rolę, bo bardziej umożliwia (bądź uzupełnia) codzienną komunikację i wymianę informacji ze znajomymi czy rodziną (np. tą z innego miasta czy kraju).

    To są dwa nieporównywalne serwisy tak naprawdę. Łączy je może tylko przymiotnik „społecznościowe” i parę funkcjonalności. I to tyle :)

    PS. Aktywnie korzystam z obu (Li i FB), dlatego pozwoliłem sobie dokonać tego porównania.

    Odpowiedz
  11. MateuszM

    Raz jeszcze bl4de dziękuję za obszerny i merytoryczny wykład. :-) Trochę odpowiedziało mi to na pytanie dlaczego wyciek danych z LI może być problemem z punktu widzenia bezpieczeństwa aczkolwiek nadal pozostaję na stanowisku, że nie ma tam nic tajnego czego bałbym się/wstydził udostępnić światu. No bo, po co ukrywać info gdzie się pracowało/pracuje i z kim skoro się je najpierw zamieszcza aby takie HR-y mogły to sobie wyciągnąć np. na rekrutacji. Wiele osób z branży IT wrzuca swoje CV na publicznie dostępne stronki i nic się nie dzieje złego… no może prócz spamu. Raz jeszcze dzięki za fajnego posta.

    Odpowiedz
  12. bl4de

    @MateuszM

    Wydaje mi się (przypuszczam), że panom z Li nie chodzi o sam fakt pozyskania danych, ale o to, że ktoś zrobił to „przemysłowo”, w setkach tysięcy profili naraz, i za to nie zapłacił (bo normalnych rekruterów taka ilość danych kosztowałaby pewne fortunę)

    Odpowiedz

Odpowiedz na Marek