LinkedIn – Diffusion de 117 millions de mots de passe datant de 2012

5
164

Le réseau social professionnel LinkedIn avait été victime d’un piratage d’envergure en 2012, et la fuite de données avait été estimée à 6,5 millions de mots de passe. Mais le site Motherboard a repéré qu’un cybercriminel tente actuellement de vendre plus de 117 millions de comptes LinkedIn.

L’alerte a été lancée ce weekend car les répercussions pourraient être graves : plus de 117 millions d’utilisateurs du réseau social professionnel LinkedIn sont potentiellement en danger si ces données piratées sont vendues.

Visiblement, la fuite de données a été largement sous-estimée en 2012 par LinkedIn qui avait annoncé que “seuls” 6,5 millions de comptés avaient été touchés par le piratage. Or, l’annonce repérée par Motherboard il y a quelques jours démontre un nombre bien supérieur s’élevant à 117 millions.

linkedin-leak

Le vendeur, connu sous le pseudonyme de Peace, propose le pack d’identifiants et mots de passe au prix de 2200 dollars environ (5 bitcoins), notamment sur les sites du blackmarket The Real Deal. Si l’on compte les adresses mails sans mot de passe, le nombre augmente même à 167 millions de victimes !

Ces données sont critiques pour la bonne raison que les mots de passe sont hashés via l’algorithme SHA-1 qui est vulnérable au cracking, surtout qu’il est utilisé sans aucun salt (ou grain de sel) pour renforcer le niveau de sécurité. D’après leakedsource.com, 90% des mots de passe ont été crackés avec succès par les pirates en 3 jours…

Cela vient seulement de faire surface maintenant. Les gens n’avaient pas pris au sérieux cette brèche à l’époque car rien n’avait été diffusé. La base de données volée a été maintenu au sein d’un petit groupe de pirates informatiques russes“, explique le site LeakedSource.

linkedin-hack-mail

LinkedIn vient par ailleurs de confirmer l’énorme fuite et a lancé une vaste campagne de réinitialisation des mots de passe des comptes utilisateurs :

« Nous avons été informés que d’autres données avaient été mises en ligne. Nous avons immédiatement pris des mesures pour invalider les mots de passe des comptes touchés et nous contacterons les internautes concernés pour qu’ils changent de mot de passe ».

De plus, si ce n’est déjà fait, adoptez l’authentification forte à deux facteurs.

Les commentaires sont fermés.