Verden

Hackere kan selge dine personlige data fra sosiale medier

Legger du ut informasjon om din alder, jobb og sivilstatus på sosiale medier? Noen kan tjene penger på det.

Oslo  20171102.
Illustrasjonbilde av jente som bruker sosiale medier apper på en iPhone mobil/smartphone. Modellklarert.
Foto: Mia Oshiro Junge / NTB

En hacker som kaller seg Tom Liner samlet i juni informasjon fra over 700 millioner brukere på LinkedIn i en database, som han legger ut for salg til 5 000 amerikanske dollar (over 44 000 norske kroner), ifølge BBC.

Denne type hacking skiller seg ut ved at man ikke må bryte inn på servere for å få tilgang til skjult informasjon, men heller bruke programmer som gir all offentlig informasjon som er fritt tilgjengelig om brukerne på sosiale medier. I teorien kan det meste av dataene som samles, bli funnet ved ganske enkelt å velge individuelle profilsider på sosiale medier en etter en.

Trolig brukt til hackingangrep

Så langt i år har det vært minst tre andre såkalte “scraping” av sosiale medier, skriver BBC. Hendelsene har utløst en debatt om hvorvidt den grunnleggende personlige informasjonen vi deler offentlig på profilene våre, bør beskyttes bedre.

Til en BBC-journalist forteller Tom Liner at han klarte å hacke seg inn i API-systemet til LinkedIn, eller programmeringsgrensesnitt på norsk. Systemet gjør det mulig for andre selskaper å få tilgang til dataene deres til for eksempel markedsføring.

Han vil ikke si hvem kundene hans er, eller hvorfor de vil ha denne informasjonen. Men han sier at dataene sannsynligvis blir brukt til ondsinnede hackingangrep. Liner sier at det “plager ham”, men han vil fortsatt ikke si hvorfor han fortsetter å utføre slike operasjoner.

Må kontrolleres nøyere

Det faktum at hackere tjener penger på disse databasene, bekymrer eksperter på cybersikkerhet.

Administrerende direktør og grunnlegger av SOS Intelligence, et selskap som gir firmaer trusselinformasjon, Amir Hadžipašić, sier at hackere som kjøper LinkedIn-data, kan bruke den til målrettede hackingkampanjer mot for eksempel selskapssjefer. Han mener API-programmer, som gir mer informasjon om brukere enn allmennheten kan se, bør kontrolleres nøyere.

– Slike store lekkasjer er bekymringsverdig, spesielt siden de kan inneholde privat informasjon som geografiske steder eller private mobil- og e-postadresser. For de fleste vil det komme som en overraskelse at det er så mye informasjon i disse API-anrikningstjenestene, sier han til BBC.

Men cybersikkerhetsekspert Troy Hunt, er mindre bekymret for hendelsene og sier at vi må godta dem som en del av vår offentlige profil.

– De fleste av disse dataene er uansett offentlige. Spørsmålet vi må stille oss er imidlertid hvor mye av denne informasjonen som brukeren vet er tilgjengelig, og hvor mye som ikke forventes å være det.

Hunt er enig med Hadžipašić i at API-programmer må kontrolleres nøyere.

Hold deg oppdatert. Få daglige nyhetsbrev fra Dagsavisen