Les données de 92 % des membres de LinkedIn en vente sur Internet

Les données de 92 % des membres de LinkedIn en vente sur Internet

Au mois d’avril, nous évoquions la vente d’une base de données contenant les informations personnelles publiques de 500 millions de membres de LinkedIn. Cette fois-ci, les choses semblent être encore plus sérieuses puisque PrivacySharks rapporte l’apparition d’une nouvelle base de données personnelles contenant les informations de 700 millions d’utilisateurs, ce qui représente 92 % des membres du réseau social professionnel appartenant à Microsoft. En date du 22 juin 2021, un certain « TomLiner » indiquait en effet être en possession d’une telle base et publiait un extrait de ce fichier contenant les données de 1 million d’utilisateurs en tant que preuve.

LinkedIn enquête

Les chercheurs en sécurité de PrivacySharks ont mené l’enquête et confirment que les données incluses dans cet extrait de la base de données sont correctes. Nom, genre, e-mail, numéro de téléphone, employeur, parcours professionnel, telles sont — essentiellement — les informations fournies. Une mine d’or pour des pirates qui chercheraient à usurper l’identité de certains de ces membres ou à mettre en place des campagnes de spam ou d’hameçonnage à grande échelle, entre autres.

PrivacySharks a contacté LinkedIn pour en apprendre davantage sur l’existence d’une telle base de données dans la nature. Ils ont reçu une réponse de Leonna Spilman, responsable de la communication d’entreprise. Cette dernière déclare : « Bien que nous continuions à enquêter sur ce problème, notre analyse initiale indique que l’ensemble de données comprend des informations extraites de LinkedIn ainsi que des informations obtenues d’autres sources. Il ne s’agit pas d’une violation de données de LinkedIn et notre enquête a déterminé qu’aucune donnée privée de membre de LinkedIn n’a été exposée. L’extraction de données de LinkedIn constitue une violation de nos conditions d’utilisation et nous nous efforçons constamment de garantir la protection de la vie privée de nos membres. »

 

Pas de piratage au sens strict

Comme ce fut déjà le cas en avril, il n’est donc pas question d’une véritable faille de sécurité au sens strict, ni même d’un véritable piratage. Les données ici collectées ont pu l’être simplement parce qu’elles sont exposées à la vue de tous, en étant aspirées. Ce qui n’a rien d’illogique sur un réseau professionnel tel que LinkedIn, énorme annuaire de CV en ligne, où les membres ont tout intérêt à ce que leurs profils soient les plus exposés à la vue des recruteurs. Néanmoins, aspirer ces données, c’est-à-dire faire du « data scraping », est interdit par les conditions d’utilisation de la plateforme. Tout comme le regroupement de données issues de plusieurs sources pour former des profils individuels est abusif.

Vous l’aurez compris, aucune information privée n’est visiblement concernée par cette « fuite » de données. Les mots de passe, notamment, sont préservés. Néanmoins, nous ne saurions trop conseiller aux détenteurs d’un compte LinkedIn de bien vérifier la sécurisation de leur compte, et à tous de rester particulièrement méfiants vis-à-vis des initiatives potentiellement frauduleuses.

Un cumul d’anciennes données

Déjà en avril dernier, 500 millions d’usagers du réseau social avaient vu leurs données piratées. Selon un autre site spécialisé en cybersécurité, PrivacySharks, il semble que cette nouvelle mise en vente soit un cumul des données des fuites précédentes. LinkedIn a réagi dans un communiqué : «Nous voulons être clairs sur le fait qu’il ne s’agit pas d’une violation de données et qu’aucune donnée privée de membres de LinkedIn n’a été exposée. Notre enquête initiale a révélé qu’elles ont été extraites de LinkedIn et d’autres sites Web et incluent les mêmes données signalées plus tôt cette année en avril 2021.» En d’autres termes, les hackers ont «scrapé» les données, c’est-à-dire qu’ils se sont servis des informations accessibles publiquement sur Linkedin, pour les rassembler en une seule liste.

L’ensemble de ces informations permet aux cybercriminels d’opérer des attaques de «phishing», c’est-à-dire d’envoyer des mails frauduleux pour extirper d’autres données aux utilisateurs victimes de la fuite de leurs données. Ces informations précises à votre sujet peuvent leur servir soit à soutirer de l’argent, soit à rentrer dans le système d’information d’une entreprise. Plus grave, les cybercriminels ont la possibilité d’usurper votre identité en se créant de faux profils avec vos données. Pour pallier ces problèmes, ne cliquez pas sur les liens douteux figurant sur certains mails et ne rentrez pas vos coordonnées bancaires sur un site dont le lien ne commence pas par «https:».

 

L’extraction de données est une violation

Selon RestorePrivacy, les données sont récentes avec des profils datés de 2020 à 2021. Ce qui signifie que LinkedIn est dans l’incapacité d’empêcher le siphonnage de données, et qu’un pirate peut donc continuer de récupérer des données. Du côté du réseau social, il a été confirmé que le fichier était bien authentique, mais on se défend de tout problème de sécurité. En clair, n’importe qui peut récupérer les données de Linkedin puisqu’il s’agit de pages publiques, mais le fait de les compiler et les vendre est un délit.

« Bien que nous enquêtions toujours sur ce problème, notre analyse initiale indique que l’ensemble de données comprend des informations récupérées à partir de LinkedIn ainsi que des informations obtenues à partir d’autres sources. Il ne s’agit pas d’une violation de données de LinkedIn et notre enquête a déterminé qu’aucune donnée privée de membre de LinkedIn n’a été exposée. L’extraction de données de LinkedIn constitue une violation de nos conditions d’utilisation et nous nous efforçons constamment de garantir la protection de la vie privée de nos membres. »

Une base de données de rêve pour une opération de phishing

Il n’en demeure pas moins que ces données incluent les identifiants de compte, les noms complets, les adresses e-mails, les numéros de téléphone, les informations sur le lieu de travail, les sexes et les liens vers d’autres comptes de réseaux sociaux… Le pirate a mis en ligne un extrait comprenant deux millions de comptes, et il le vend pour un montant à quatre chiffres (moins de 10.000 dollars donc).

On ne peut donc pas comparer avec Facebook où des mots de passe avaient été compromis et accessibles dans la base de données, mais il n’en demeure pas moins que ce type de fuite peut entraîner des problèmes de sécurité, qu’il s’agisse de spam, de phishing ou même d’usurpation d’identité. Sans oublier que des hackers, qui disposent de l’identifiant d’un compte, peuvent en chercher et trouver le mot de passe par force brute. Et quand on sait que beaucoup d’utilisateurs choisissent un mot de passe simple, le hacker n’a souvent besoin que de quelques secondes pour le trouver.

 

nicolas75