{{feedLink}}

Linkedin e la verifica dell’identità: i pericoli

bluesky Signorina37
(Aggiornato il )
L'amore per la spunta blu AI
Articolo di Signorina37 per GarantePiracy

 

Spunte blu e identità digitale: quando la verifica costa troppo

LinkedIn ha recentemente introdotto la possibilità di aggiungere un secondo nome al profilo utente, utile per la verifica dell’identità. Una funzione che – almeno sulla carta – serve a rendere la piattaforma più affidabile e “veritiera”... di fatto, regalare un dato del genere, non fa che aumentare l’insicurezza.

La raccolta eccessiva di dati sensibili

Per ottenere la spunta di verifica, LinkedIn richiede documenti ufficiali come passaporti o patenti di guida, da caricare sulla piattaforma di terze parti PERSONA. Questi documenti contengono informazioni che permettono di identificare esattamente la persona: nome completo, indirizzo, data di nascita, numero di documento, emittente, validità.

LinkedIn dichiara di eliminare i dati entro 24 ore (in realtà è PERSONA a farlo, perché Linkedin non trattiene questo genere di dato, lo utilizza), ma anche i sistemi più sicuri possono essere violati. Un esempio lampante: nel 2021 sono stati messi in vendita i dati di oltre 700 MILIONI di profili LinkedIn, che ammonta a circa il 92% degli utenti registrati - su un noto forum di hacking (qui: https://www.forbes.com/sites/leemathews/2021/06/29/details-on-700-million-linkedin-users-for-sale-on-notorious-hacking-forum).

Anche se LinkedIn ha affermato che i dati provenivano da scraping, si trattava comunque di informazioni personali che, incrociate con altri dati pubblici, potevano consentire la creazione di profili dettagliati e usabili per truffe.*

 

La diffusione dei badge su piattaforme terze

C’è di più: LinkedIn permette di mostrare il bollino blu "Verified on LinkedIn" anche su piattaforme esterne come Adobe Behance (qui: https://www.techradar.com/pro/security/linkedin-adds-new-verification-tool-to-ensure-security-across-the-internet) in una sorta di combriccola dei verificati - questo rende(rebbe) trasparente la tua “attendibilità” in contesti professionali più ampi, ma apre anche nuovi scenari: i dati validati vengono condivisi tra più servizi.

Questo significa che, se una sola di queste piattaforme viene violata, tutte le tue informazioni verificate possono diventare accessibili e riutilizzabili dai criminali. Impossibile? Nah, forse solo improbabile.

I casi di furto d’identità digitale sono sempre più frequenti e documentati. Già nel 2012 la piattaforma subì un attacco in cui vennero rubate 6.5 milioni (MILIONI, fatemelo urlare!) di password. Ma la portata reale si scoprì solo anni dopo: nel 2016 emerse che 117 milioni (MILIONI, damn!) di email e password erano finite sul mercato nero (qui: https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/2012-linkedin-breach-117-million-emails-and-passwords-stolen-not-6-5m)

Ma, una volta in possesso di questi dati, cosa possono fare i truffatori? Se va bene, attivano una SIM card in Nicaragua per la Mamacita di turno, oppure per per operazioni anonime e non proprio chiarissime.

Possono anche acquistare beni e servizi illegali sul dark (o peggio, sul deep) web, e non voglio nemmeno pensare a che cosa possano servire, siamo una società malata e meritiamo l’estinzione.

La cosa “più peggio” (perdonate la licenza, ma vi deve colpire come un pugno allo stomaco) è che con la pletora di dati che abbiamo regalato, per avere il bollino Chiquita, si possono creare documenti di identità falsi, più veri del vero. E usarli. Un’identità digitale ben costruita può essere condivisa e riutilizzata per qualsiasi cosa, senza che l’utente ne sia immediatamente consapevole - avete presente quando guardando “CSI Las Vegas” ci stupivamo di come funzionavano le tecniche di Grissom & Soci e dicevamo “ma vaaaaaa”, ecco.

Il problema è la referenzialità: viviamo in un’epoca e in una società dove l’autorevolezza si misura con simboli vuoti: una spunta blu, un badge, un "verified". Ma ogni informazione che cediamo a piattaforme private alimenta un profilo digitale che può sfuggirci di mano - senza contare che un bollino Chiquita, sulla persona sbagliata, rischia di fare moltissimi danni.

Meglio puntare sui contenuti, allora: articoli, interventi, discussioni e relazioni autentiche valgono più di qualsiasi bollino; perché la fiducia si costruisce con la trasparenza e la coerenza, non con un documento caricato online per la spunta blu!

 

 

* Nota di CB: il Garante Privacy ha pubblicato un provvedimento per limitare l'abuso dei dati online. Queste si traducono in misure anti scraping che responsabilizzano i gestori dei siti (piattaforme, social e ogni cosa online) affichè: 1) mettano in chiaro cosa sia possibile fare con i dati pubblicati e cosa non sia possibile fare; 2) che impediscano lo scraping automatizzato con sistemi standardizzati come robot.txt; 3) che rendano tecnicamente difficoltosa l'acquisizione massiva di dati online. Poco utile in concreto per impedire gli abusi, ma utile per permette di qualificare chi fa scraping come soggetto informato, consapevole e intento in azioni riconoscibili come illecite.

Signorina37

AKA Claudia Galingani Mongini

Se non la conosci è solo colpa tua!

Sei in tempo e puoi rimediare...

 

Altri post correlati

Letture totali:  

...