LinkedIn avvia un’azione legale contro ProAPIs per scraping sistematico dei dati di utenti tramite un milione di account falsi, mentre Redis pubblica una patch urgente per la vulnerabilità CVE-2025-49844, un difetto “use-after-free” che consente esecuzione di codice remoto e minaccia migliaia di istanze esposte nel cloud. Due vicende che, pur diverse, rivelano un’unica fragilità del mondo digitale: la corsa tra innovazione, abuso dei dati e sicurezza del software.
Cosa leggere
LinkedIn contro ProAPIs: lo scraping come violazione sistematica
LinkedIn, piattaforma con oltre un miliardo di iscritti, ha denunciato ProAPIs per la creazione di un milione di account falsi utilizzati per raccogliere in modo automatizzato informazioni personali e professionali dai profili pubblici. L’azienda californiana sostiene che ProAPIs abbia violato i termini di servizio, sfruttando carte di credito false per accedere a funzioni premium e rivendendo poi i dati raccolti attraverso iScraper API, un servizio venduto a 13.755 euro al mese che permetteva di eseguire fino a 150 richieste al secondo in tempo reale.
Il dipartimento legale guidato da Sarah Wight ha depositato una causa in California per chiedere un’ingiunzione permanente contro ProAPIs, la cancellazione dei dati raccolti illegalmente e danni economici rilevanti. Le indagini interne di LinkedIn hanno collegato l’azienda denunciata — registrata nel Delaware e guidata da Rehmat Alam — alla società Netswift, con base in Pakistan, che avrebbe fornito il supporto tecnico per l’infrastruttura dei bot. LinkedIn accusa ProAPIs di “furto sistematico di dati” e di aver compromesso l’integrità della piattaforma. I profili falsi sarebbero stati utilizzati per accedere a informazioni sensibili, successivamente rivendute a terze parti e talvolta finite in database trapelati sul dark web.
Dettagli tecnici sullo scraping industriale
Secondo la documentazione legale, ProAPIs automatizzava la creazione e il login degli account per eludere i controlli antispam, utilizzando reti proxy e infrastrutture distribuite per aggirare i limiti di richiesta. L’API iScraper forniva estrazioni strutturate di dati su esperienze lavorative, istruzione e contatti, permettendo a clienti esterni di integrare i dati direttamente nei propri sistemi CRM. LinkedIn ha risposto potenziando i sistemi di rilevamento bot, con meccanismi basati su fingerprinting comportamentale, IA predittiva e blocco automatico degli account sospetti. Dal 2022, l’azienda utilizza anche tecniche di tracciamento anti-fake account che analizzano anomalie nei pattern di creazione e nelle sessioni di login. ProAPIs, nonostante la denuncia, mantiene ancora attiva parte della propria API, sebbene con interruzioni temporanee segnalate dallo status server. La compagnia non ha risposto ai commenti di stampa, mentre LinkedIn conferma di voler “difendere i diritti dei propri membri contro ogni forma di scraping non autorizzato”, ricordando i precedenti legali vinti contro altri operatori, come ProxyCurl.
Implicazioni legali e impatto sulla privacy
L’azione legale contro ProAPIs segna un nuovo fronte nella battaglia globale contro lo scraping dei social network. LinkedIn mira a creare un precedente giuridico che impedisca a servizi simili di rivendere informazioni pubbliche raccolte tramite automazione. L’azienda ribadisce che, anche se i dati appaiono pubblici, l’uso automatizzato e commerciale ne viola la licenza d’uso e la privacy implicita degli utenti.
La causa sottolinea anche un rischio più ampio: la commercializzazione illecita dei profili professionali, un problema che può influenzare la reputazione digitale e la sicurezza personale degli iscritti.
Redis e la falla critica CVE-2025-49844
Parallelamente, il mondo open-source è scosso da una vulnerabilità ad alto impatto che colpisce Redis, uno dei database più diffusi in ambienti cloud e applicazioni enterprise. La falla, identificata come CVE-2025-49844, è un bug “use-after-free” presente da 13 anni nel codice del linguaggio Lua integrato nel core del sistema. Segnalata dai ricercatori di Wiz durante Pwn2Own Berlin, la vulnerabilità consente a un attaccante autenticato di eseguire codice arbitrario sul server sfruttando script Lua manipolati. Gli exploit, denominati RediShell, permettono di uscire dalla sandbox Lua e ottenere reverse shell persistenti, garantendo pieno controllo del sistema. Secondo Wiz, oltre 330.000 istanze Redis risultano esposte online, e circa 60.000 di esse non dispongono nemmeno di autenticazione attiva, rendendole potenziali bersagli immediati. Redis calcola che circa il 75% delle istanze cloud globali utilizzi versioni vulnerabili.
Analisi tecnica e mitigazioni immediate
L’exploit sfrutta un difetto nella gestione della memoria del modulo Lua, che Redis utilizza per eseguire script di automazione. Il bug, attivo in tutte le versioni principali fino a oggi, permette di forzare il rilascio prematuro di un oggetto in memoria e riutilizzarlo per eseguire codice iniettato. L’esecuzione avviene con i privilegi dell’utente Redis, ma può essere estesa tramite escalation su sistemi mal configurati. Redis ha rilasciato patch correttive in una serie di aggiornamenti multipiattaforma, tra cui Redis OSS 8.2.2 e Redis Stack 7.4.0-v7, correggendo il difetto e migliorando la gestione sandbox di Lua. L’azienda raccomanda inoltre di:
- Abilitare sempre l’autenticazione Redis e disabilitare i comandi Lua se non necessari.
- Eseguire Redis con utenze non-root e all’interno di reti VPC isolate.
- Monitorare i log e limitare gli accessi alle sole reti autorizzate.
- Applicare firewall e segmentazioni interne per ridurre la superficie d’attacco.
Wiz segnala che diverse botnet, tra cui P2PInfect, HeadCrab e Migo, stanno già cercando di sfruttare la vulnerabilità per installare cryptominer e ransomware, rendendo l’aggiornamento immediato una priorità assoluta.
LinkedIn risponde con il diritto, Redis con la tecnica. Entrambe riaffermano l’importanza della governance dei dati e della sicurezza del codice come fondamenti dell’economia digitale moderna.
