Piratage : les données de 500 millions d'utilisateurs de LinkedIn hackées et mises en vente en ligne

09 avril 2021 à 15h53
16
linkedin-logo.jpg © Pixabay
© LinkedIn

Après Facebook il y a quelques jours, LinkedIn est à son tour touché par une fuite XXL de données retrouvées sur le dark web. Une majorité d'utilisateurs a été touchée.

La série noire continue pour les réseaux sociaux d'envergure. Selon le média spécialisé Cybernews, les données de plus de 500 millions d'utilisateurs de LinkedIn ont été dérobées par des pirates informatiques et ont depuis été mises en vente sur un célèbre forum de hackers. De nombreuses informations personnelles ont été divulguées, et la base de données contenant la totalité des informations recueillies aurait été mise aux enchères sur le dark web.

Des identifiants, noms ou encore adresses mails publiés

Pour prouver son « sérieux », outre la mise aux enchères de la base de données, celui qui semble être le détenteur de cette dernière a mis en ligne un échantillon de 2 millions de profils enregistrés, échantillon accessible, sur le forum de hackers, pour seulement 2 dollars. La base de données, elle, serait en vente en échange de Bitcoin.

Parmi les données exposées et consultées par Cybernews, on retrouve des identifiants, des noms, des adresses électroniques, des numéros de téléphone, mais aussi différentes lignes et informations professionnelles liées au « CV » des utilisateurs, qui sert de profil.

Des experts en cybersécurité ont confirmé que les données divulguées provenaient bien de LinkedIn et qu'elles appartiennent donc à des utilisateurs du réseau social professionnel, propriété de Microsoft. On ignore cependant à quand remonte exactement la fuite.

LinkedIn fuite © Cybernews
Un aperçu de "l'offre" du détenteur de la base de données (Capture d'écran © Cybernews)

Seules les données « publiques » ont été captées par les hackers

Le 8 avril, LinkedIn a publié un communiqué dans lequel l'entreprise indique avoir « enquêté sur un ensemble présumé de données LinkedIn qui ont été mises en vente ». Selon elle, il s'agissait d'une « agrégation de données provenant d'un certain nombre de sites web et d'entreprises », ce qui inclut des données de profils de membres qui étaient visibles publiquement et ont, donc, été extraites de la plateforme professionnelle.

LinkedIn soutient qu'il ne s'agit pas d'une violation de données de l'entreprise et que les données de membres dont le profil n'est pas public n'ont pas été divulguées. La CNIL italienne a en tout cas annoncé ce jeudi avoir ouvert une enquête sur le réseau social.

Alors, quels risques peuvent courir les utilisateurs ? Étant donné qu'aucune donnée « critique » (comme les coordonnées bancaires) n'a été divulguée, les risques restent limités, mais comme pour la fuite géante de données Facebook, on peut tout à fait parier que des campagnes de spam et de phishing seront lancées par des individus malveillants bien décidés à profiter de la situation. En attendant, et même en ignorant le nombre de Français touchés par la fuite (le réseau social comptant plus de 20 millions de membres dans l'Hexagone), on ne peut que vous inviter à la prudence et à vérifier si votre mail n'est pas concerné par la fuite, à l'aide d'une petite visite sur le site Have I Been Pwned , qui regroupe les principales violations de données mondiales.

Modifié le 09/04/2021 à 16h14
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
16
12
Pronimo
Ca n’a pas l’air de la meme fuite de 2016 avec 164 millions de comptes concernés… Je m’étais plain d’ailleurs au support pour leurs crier a la gueule qu’ils ont laisser exploiter mes données LinkedIn sans mon consentement et par ailleurs disponible en public sur des sites comme apollo .io: nom, email, tel, employeur actuel, anciens emplois et qui semble toujours référencé sur Google malgré de nombreuses plaintes.<br /> Bien sure a l’époque ils niaient le fait que les infos provenaient de chez eux ce qui était faux car il y’avais des infos que j’avais rentrée uniquement sur linkedin et pas sur mes CV… Bon au moins cette fois ci, ils ne vont plus se cacher de leur incompétence et nier les faits!
clockover
Toujours pareil des géants qui s’en branlent de leur «&nbsp;utilisateurs&nbsp;», exploitent leur donnée, négligent la sécurité mais mette des emoticons dans le chat, etc…<br /> Trop gros pour en avoir à foutre des personnes individuelles
Felaz
Ca va en faire des appels de commerciaux !
elminster44
Autant remplir un annuaire style page blanche avec toute nos infos persos et les mettre en public, cela fera presque le même effet que de croire nos données à l’abri sur le net et au moins on sera pas surpris de voir nos données se promener.^^
PierreKaiL
Encore une fois, sauf si qqc m’a échappé, ce sont des données publiques rassemblées, pas de données critique comme les coordonnées bancaires, ce n’est pas du piratage…<br /> Cela fait les titres et faire des clics mais au delà de ça cela entretient une véritable relation avec la paranoïa alors que ce ne sont que des données publiques que n’importe qui peut avoir, c’est un peu le principe de ce réseaux, mettre à disposition son profil, non ?<br /> Après pour le phishing, en fonction de la qualité de la boite mail utilisée, ça passe direct en Spam, donc bon… Ceci dit avec hotmail mieux vaut être vigilant, en comparaison avec Gmail que personnellement, je trouve assez sûre à ce niveau, forcément Google veut tout garder pour lui… <br /> Enfin bref, un titre de plus qui parle de piratage alors que cela n’a pas l’air d’être le cas plus que ça…<br /> Pour mon côté parano complotiste, je pourrai rajouter aussi, que rien n’empêche à des employés ou dirigeants de vendre ces infos «&nbsp;non sensibles&nbsp;» sous le manteau et faire passer ça pour du piratage aussi…
ogaude_2020
Toutes ces histoires de fuite de données, montrent à quel point ces énormes sociétés n’accordent aucune attention aux lois/réglements européens. Compte tenu du montant des amendes (Sanction | CNIL), le RGPD devrait faire trembler l’ensemble de l’économie numérique et aucune entreprise ne devrait prendre le moindre risque. Au final, c’est juste un truc administratif de plus qui pénalise les PME européennes, et dont les USA et les Chinois se moquent totalement. Merci l’Europe !
AlexLex14
PierreKaiL:<br /> Encore une fois, sauf si qqc m’a échappé, ce sont des données publiques rassemblées, pas de données critique comme les coordonnées bancaires, ce n’est pas du piratage…<br /> Une base de données constituées à partir des informations fournies par une plateforme mondiale, publiée illégalement sur un forum de piratage lui aussi illégal, par un hacker réputé, tu appelles ça une œuvre de bienfaisance toi ? Moi j’appelle ça du piratage <br /> C’est justement avoir une définition trop restrictive du piratage qui est une erreur. Le but n’est pas de faire du clic (je précise que je n’ai pas choisi ce titre-ci, chose rare, mais je l’approuve néanmoins).<br /> Après, on a le droit de ne pas être d’accord, c’est bien normal
PierreKaiL
Pour le clic je ne parlais pas pour toi Alex bien sur, c’était en général, j’aurai pu le dire autrement surement, en gros c’était juste pour dire que je trouve le nombre impressionnant mais qu’au bout du compte cela n’a pas l’air d’être non plus le gros drame et qu’il pourrait y avoir complicité au passage… (ça c’est mon esprit tordu).<br /> Dans tous les cas merci pour l’info
AlexLex14
T’inquiète, pas de souci <br /> D’ailleurs, chose non précisée dans l’article, j’ai tenté de contacter LinkedIn France, notamment pour savoir si justement des données d’utilisateurs FR étaient dans le pack. Pour le moment, pas de réponse… Et je ne pense pas en avoir ^^
twenty94470
Pour en avoir le cœur net tu peux faire une offre pour acheter les données
chicour
Concernant le rgpd ma boîte fait attention pour les amendes. Par contre on invite les gens à braver le confinement pour venir signer des assurances bidon car pas moyen de signer electroniquement. C’est dire le niveau
Iceslash
Dire qu’avant, toutes nos informations, nom+prénom+tel+adresse étaient en libre accès dans un bottin ou envoyé à la maison, on ne s’en plaignait pas…alalala.
bmustang
si c’est le cas! Que peut bien faire des coordonnées bancaires sur un site comme linkedin?<br /> On n’a pas fini d’avoir des fuites de donnée dans la nature, ce n’est que le commencement.
cyrano66
PierreKaiL:<br /> Pour mon côté parano complotiste, je pourrai rajouter aussi, que rien n’empêche à des employés ou dirigeants de vendre ces infos « non sensibles » sous le manteau et faire passer ça pour du piratage aussi…<br /> Si c’est le cas ça a intérêt à être bien planqué parce que depuis la loi sur la protection des données personnelles la moindre donnée est qualifiée de sensible et l’exploitation de données personnelles par l’employeur (y compris un simple CV) ne peut pas se faire sans le consentement du salarié.<br /> Sinon je suis assez d’accord que chacun dépose des données sur Linkedin à des fins de représentation personnelle.<br /> C’est pas sûr linkedin qu’on risque de trouver la photo de tata Yvonne saoule en topless au bord de la piscine.<br /> Ce site est public, visible et accessible.<br /> Si le piratage en question est un simple siphonage automatique des données professionnelles publiques y’a pas de quoi jouer les vierges effarouchées.<br /> Maintenant ça n’excuse pas le piratage. Bien sûr on ne colle pas son CV sur un site pour qu’il soit vendu 2$ sur le Darkweb.<br /> Mais quand on cherche du boulot peut-être que c’est une solution pour augmenter l’audience.<br /> AlexLex14:<br /> Une base de données constituées à partir des informations fournies par une plateforme mondiale, publiée illégalement sur un forum de piratage lui aussi illégal, par un hacker réputé, tu appelles ça une œuvre de bienfaisance toi ? Moi j’appelle ça du piratage <br /> Pas sûr que la simple extraction soit illégale.<br /> Après tout c’est bien le fond de commerce de certains progiciels et même des moteurs de recherche. C’est inquiétant par l’ampleur et le côté systématique et automatique.<br /> Et La revente est probablement illégale.<br /> bmustang:<br /> si c’est le cas! Que peut bien faire des coordonnées bancaires sur un site comme linkedin?<br /> Parce que linkedin propose une prestation « premium » payante
AlexLex14
cyrano66:<br /> Parce que linkedin propose une prestation « premium » payante<br /> Exactement. Prestation qui est censée offrir certains avantages profil vs profil (mais je ne l’ai jamais testée)
clockover
@ogaude_2020<br /> Exactement ces sociétés s’en foutent.<br /> Par contre on a créé un insécurité juridique pour les petites structures qui n’ont elle-même pas la masse de données nécessaire pour en faire des traitements hors contexte…<br /> Du grand art à l’Européenne!
Voir tous les messages sur le forum

Lectures liées

80Go à 10€, l'offre choc RED by SFR prend fin ce soir à minuit 🔥
GX290 Pro, le smartphone ultra-résistant de Gigaset à la batterie XXL (Interview)
Le Xiaomi Redmi Note 11 sera équipé d'un écran AMOLED 120 Hz
Avec le BIG RED, RED by SFR fracasse les forfaits mobiles concurrents
Forfait mobile : profitez de 80 Go chez Free mobile pour à peine 11€
Google Pixel Stand 2 : vous n'en avez pas entendu parler mais pourtant il arrive bientôt
Huawei dévoile le Nova 9, son flagship à destination des
Onyx Boox lance trois nouvelles liseuses grand format (et une grosse mise à jour logicielle)
Pixel 6 vs iPhone 13, un combat sans vainqueur (sur le papier) ?
Samsung s'ennuie et nous parle des nouveaux coloris du Galaxy Z Flip 3 et Watch 4
Haut de page