Un pirate a mis en vente les données de 92% des membres inscrits sur LinkedIn à ce jour, soit plus de 700 millions. Pas de piratage direct, mais une aspiration continue des données publiques des membres de LinkedIn lui a permis de constituer une immense base de données et de la mettre en vente sur un forum dédié au cybercrime.
Décidément, le réseau social professionnel appartenant à Microsoft continue d’être une cible privilégiée des pirates… En date du 22 juin 2021, un certain “TomLiner” indiquait en effet être en possession d’une énorme base contenant les données personnelles de plus de 700 millions d’utilisateurs LinkedIn et publiait un extrait de ce fichier contenant les données de 1 million d’utilisateurs en tant que preuve.
Les chercheurs en sécurité de PrivacySharks ont mené l’enquête et confirment que les données incluses dans cet extrait de la base de données sont correctes. Il s’agit là d’une mine d’or pour des cybercriminels cherchant à usurper l’identité de certains de ces membres ou à mettre en place des campagnes de spam ou d’hameçonnage à grande échelle, entre autres. Les données contiennent :
- Adresses mail
- Noms complets
- Les numéros de téléphone
- Adresses physiques
- Fiches de géolocalisation
- Nom d’utilisateur
- URL du profil
- LinkedIn Expérience / parcours personnel et professionnel
- Genres
- Autres comptes de réseaux sociaux et noms d’utilisateur
PrivacySharks a contacté LinkedIn pour en apprendre davantage sur l’existence d’une telle base de données dans la nature. Ils ont reçu une réponse de Leonna Spilman, responsable de la communication d’entreprise. Cette dernière déclare :
“Bien que nous continuions à enquêter sur ce problème, notre analyse initiale indique que l’ensemble de données comprend des informations extraites de LinkedIn ainsi que des informations obtenues d’autres sources. Il ne s’agit pas d’une violation de données de LinkedIn et notre enquête a déterminé qu’aucune donnée privée de membre de LinkedIn n’a été exposée. L’extraction de données de LinkedIn constitue une violation de nos conditions d’utilisation et nous nous efforçons constamment de garantir la protection de la vie privée de nos membres.”
Ce n’est donc pas un piratage direct dont il est question ici mais bien de scrapping avancé ! Notons que les mots de passe ne sont bien entendu pas concerné par la fuite, puisque ces derniers ne sont pas publiques.
La personne qui a mis en vente ces données sur un forum du Darknet affirme que les données ont été obtenues en abusant l’API LinkedIn pour récolter les informations que les gens téléchargent sur le site (annuaire professionnel, donc beaucoup de données publiquement accessibles). Bien entendu, ce genre d’exploitation est contraire aux conditions générales de la plateforme…
Certes ce n’est donc pas un piratage au sens strict, mais pourtant, quelqu’un a quand même pu grappiller des millions d’enregistrements en abusant de l’API officielles, ce que l’on peut tout de même appeler une faille de sécurité si aucun dispositif de protection empêche les internaute de l’interroger abusivement et d’en extraire des millions de données à force de requêtes spammy… ! Affaire à suivre donc.