LinkedIn leaked

[SECURITE] 500 millions de comptes LinkedIn en vente sur le (dark)Web

Quelques jours après la fuite mondiale de données personnelles de comptes Facebook dont près de 18 millions de comptes français, c’est au tour de LinkedIn d’être à son tour à la Une des informations avec cette fuite de données. Ainsi, un fichier de 500 millions de données se retrouve en vente avec les données de ses utilisateurs et notamment : numéros de téléphone, noms, adresses e-mail et lieu de travail. LinkedIn soutient qu’il ne s’agit pas d’un piratage..

Fuite de données LinkedIn : que s’est-il passé ?

Une archive contenant des données prétendument extraites de 500 millions de profils LinkedIn a été mise en vente sur un forum de pirates populaire, avec 2 autres millions d’enregistrements divulgués comme échantillon de preuve de concept par les personnes à l’origine du piratage.

Capture d’écran du forum où est proposé le fichier (Crédits : CyberNews.com).

“Les quatre fichiers divulgués contiennent des informations sur les utilisateurs de LinkedIn dont les données ont été prétendument récupérées par l’acteur menaçant, y compris leurs noms et prénoms, leurs adresses électroniques, leurs numéros de téléphone, des informations sur leur lieu de travail, et plus encore”, rapporte CyberNews.

“Alors que les utilisateurs du forum de pirates peuvent consulter les échantillons divulgués pour environ 2 dollars de crédits de forum, l’acteur de la menace semble mettre aux enchères une base de données beaucoup plus importante de 500 millions d’utilisateurs pour au moins une somme à 4 chiffres, vraisemblablement en bitcoins”, mentionne le rapport.

Les données divulguées mises en vente comprennent les identifiants LinkedIn, les noms complets, les adresses électroniques, les numéros de téléphone, les sexes, les liens vers les profils LinkedIn, les liens vers d’autres profils de médias sociaux, les titres professionnels et d’autres données liées au travail.

Exemple de données aspirée (Crédits : CyberNews.com)

LinkedIn défend sa position : il ne s’agit pas d’un piratage

LinkedIn a déclaré dans un communiqué1 jeudi qu’il a “enquêté sur un ensemble présumé de données LinkedIn qui a été mis en vente et a déterminé qu’il s’agit en fait d’une agrégation de données provenant d’un certain nombre de sites Web et de sociétés”.
“Il comprend effectivement des données de profil de membre consultables publiquement qui semblent avoir été raclées de LinkedIn. Il ne s’agit pas d’une violation de données de LinkedIn, et aucune donnée de compte de membre privé de LinkedIn n’a été incluse dans ce que nous avons pu examiner”, a déclaré la société.

“Lorsque quelqu’un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn et nos membres n’ont pas acceptées, nous travaillons pour les arrêter et les tenir responsables”. L’auteur du post affirme toutefois que les données ont été aspirées (ou scrappées) depuis LinkedIn.

Le 10 avril, le GPDP (CNIL Italienne) a également ouvert une enquête2 de son côté afin de limiter le plus possible la fuite de données et informer le public que l’utilisation de ces données est illégale.

Comment savoir si vos données personnelles font partie de cette fuite de données ?

Une fois n’est pas coutume, je ne vous recommanderais pas d’utiliser I’ve Been Pwned qui n’a pas encore intégré la base de données en question mais plutôt le service (gratuit) de CyberNews (à l’originie de l’alerte de cette brêche3).
Pour ce faire, il vous suffit de vous rendre sur le Personal Data Leak Checker mis à disposition par CyberNews :

Capture d’écran de l’outil Personal Data Leak Checker de CyberNews

Comment agir ?

  • Méfiez-vous des messages LinkedIn suspects et des demandes de connexion émanant d’inconnus.
  • Changez le mot de passe de vos comptes LinkedIn et de messagerie.
  • Envisagez d’utiliser un gestionnaire de mots de passe pour créer des mots de passe forts et les stocker en toute sécurité.
  • Activez l’authentification à deux facteurs (2FA) sur tous vos comptes en ligne.
  • Faites également attention aux éventuels courriels et textos de phishing. Encore une fois, ne cliquez pas sur un élément suspect et ne répondez pas à une personne que vous ne connaissez pas.

Références :

  1. Communiqué de presse LinkedIn : https://news.linkedin.com/2021/april/an-update-from-linkedin
  2. Rapport du GPDP (CNIL de l’Italie) : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9573647
  3. Rapport d’incident InfoSec et CyberNews : https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J’accepte les conditions et la politique de confidentialité

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Retour haut de page