Décidément, il ne fait pas bon d'avoir des comptes sur les réseaux sociaux en cette année 2021, qu'ils soient professionnels ou non. LinkedIn, qui cumule près de 756 millions d'utilisateurs dans le monde, a vu les données de près de 92 % des inscrits sur son site être mises en vente sur le dark web.
Une bien mauvaise nouvelle dont l'ampleur semble supérieure à la collecte de données subie en avril 2021 et qui avait déjà touché près de 500 millions d'utilisateurs : cette fois-ci, les numéros de téléphone, les adresses e-mail et les salaires seraient compris dans le package.
Des pirates plus efficaces que les recruteurs
C'est une nouvelle fuite de données qui ne devrait en rien ravir les utilisateurs du réseau social professionnel LinkedIn. Forte de 756 millions d'utilisateurs à travers le monde, la propriété de Microsoft a fait l'objet d'un nouveau leak le 22 juin 2021 après un premier épisode d'ampleur en avril dernier. Les données publiques de 500 millions d'utilisateurs avaient alors été rassemblées et vendues, ce qui n'avait pas été sans causer l'émoi de nombreux utilisateurs contraints de limiter encore plus les données de leur compte visibles de tous.
Quelles données sont cette fois-ci concernées ? Outre les noms complets, le nom d'utilisateur et l'URL du profil LinkedIn, le genre, l'expérience/parcours pro et perso, ou encore les autres comptes tels que les réseaux sociaux et noms d'utilisateurs, des informations bien plus sensibles sont mises en vente. Le package comprend aussi les adresses mail, les numéros de téléphone, les adresses physiques, les salaires et des fiches de géolocalisation dans le cas où des utilisateurs les ont mentionnées dans leur compte.
Des données proposées au tarif alléchant de 5 000 dollars selon une conversation privée entre le média RestorePrivacy et le pirate en question sur Telegram. Par ailleurs, un échantillon d'un million de profils mis en ligne a bien permis d'authentifier les informations mises en vente, datant d'une période comprise en 2020 et 2021.
LinkedIn reconnait bel et bien qu'une partie des données a été collectée sur son serveur
Contrairement à des rumeurs préalablement annoncées et relayées par plusieurs médias en ligne, LinkedIn reconnait qu'une partie des données mises en vente a bien été collectée sur ses serveurs par le biais de l'API. Cet outil permet de proposer des bases de données d'utilisateurs pour d'autres sites web comprenant nombre des informations contenues dans le package mis en vente.
Néanmoins, selon le réseau social, l'API ne serait pas la seule coupable, puisque le pirate aurait également obtenu ces informations personnelles par le biais « d'autres sources », des sites Web, sans préciser lesquels à ce stade. Pour autant, des données particulièrement sensibles telles que les identifiants de connexion ou encore les informations bancaires des utilisateurs n'auraient pas été dérobées.
Dans une déclaration, LinkedIn considère que l'ensemble des données ne seraient pas « privées ». De quoi jeter un peu plus d'huile sur le feu alors que la confiance des utilisateurs quant à la sécurité de leurs informations enregistrées sur le site est à nouveau mise à mal.
Sources : 9to5Mac, RestorePrivacy, LinkedIn
