<span style="font-family: Arial; font-size: 13px;"><div><div></div><div class="ApplePlainTextBody" style="">Actually, you don't have to give them access to your email account. <div><br></div><div>If you have have gmail, hotmail, or other similar webmail services, and are logged into your email while in LinkedIn, they can harvest your contact list as if you were accessing it yourself.</div><div><br></div><div>If you are using a smartphone, then all they have to do is read your address book to get the required information. In iOS 7.x, it is blatantly obvious that is what is occurring, because if you install the LinkedIn app, iOS asks you if you want to allow the app access to your contacts.</div><div><br></div><div>For corporate email using Exchange, they can use the MAPI interface to harvest your contacts.</div><div><br></div><div>For other mail servers, I'm sure they have their ways of getting your contacts as well.</div><div><br></div><div>BTW, a lot of spam malware works the same way...</div><div><br></div><div>JK</div><div><br></div><div><br><div class="AppleOriginalContents"><div>On Aug 3, 2014, at 17:30 , Jay Hennigan <jay@west.net> wrote:</div><br class="Apple-interchange-newline"><blockquote>On 8/2/14, 4:59 AM, jrk1231-outml@nym.hush.com wrote:<br><blockquote>Actually, this could also happen by accident, too.<br><br>It is my understanding (as told to me by LinkedIn support) that when you<br>join LinkedIn, you give them permission to harvest your contacts and<br>send requests to every contact that is not currently a member of<br>LinkedIn as known by the email address for that person in your contact<br>list. (Did you bother to read your ToS?) <br></blockquote><br>Of course, for them to pull this off you also need to give them the<br>login credentials to your email account. These sites are rather sneaky<br>about the wording in the page that requests this, something like "invite<br>your contacts to join", and they typically forge the from address on the<br>invitations to appear as if you emailed your contacts directly.<br><br>I wonder how DMARC affects this stunt. The social media "spam your<br>contacts" script has probably morphed to modify the From address on<br>domains using DMARC to work around this.<br><br>By the way, it has been my experience that they attempt multiple spams<br>over several weeks once they harvest an address list.<br><br>--<br>Jay Hennigan - CCIE #7880 - Network Engineering - jay@impulse.net<br>Impulse Internet Service  -  <a href="http://www.impulse.net/" target="_blank">http://www.impulse.net/</a><br>Your local telephone and internet company - 805 884-6323 - WB6RDV<br>_______________________________________________<br>Outages-discussion mailing list<br>Outages-discussion@outages.org<br><a href="https://puck.nether.net/mailman/listinfo/outages-discussion" target="_blank">https://puck.nether.net/mailman/listinfo/outages-discussion</a><br><br></blockquote></div><br></div></div></div></span>