🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Une faille sur LinkedIn expose les données de 92 % des utilisateurs, y compris les salaires

02 juillet 2021 à 10h51
12
linkedin jobs
© LinkedIn

Décidément, il ne fait pas bon d'avoir des comptes sur les réseaux sociaux en cette année 2021, qu'ils soient professionnels ou non. LinkedIn, qui cumule près de 756 millions d'utilisateurs dans le monde, a vu les données de près de 92 % des inscrits sur son site être mises en vente sur le dark web.

Une bien mauvaise nouvelle dont l'ampleur semble supérieure à la collecte de données subie en avril 2021 et qui avait déjà touché près de 500 millions d'utilisateurs : cette fois-ci, les numéros de téléphone, les adresses e-mail et les salaires seraient compris dans le package.

Des pirates plus efficaces que les recruteurs

C'est une nouvelle fuite de données qui ne devrait en rien ravir les utilisateurs du réseau social professionnel LinkedIn. Forte de 756 millions d'utilisateurs à travers le monde, la propriété de Microsoft a fait l'objet d'un nouveau leak le 22 juin 2021 après un premier épisode d'ampleur en avril dernier. Les données publiques de 500 millions d'utilisateurs avaient alors été rassemblées et vendues, ce qui n'avait pas été sans causer l'émoi de nombreux utilisateurs contraints de limiter encore plus les données de leur compte visibles de tous.

Quelles données sont cette fois-ci concernées ? Outre les noms complets, le nom d'utilisateur et l'URL du profil LinkedIn, le genre, l'expérience/parcours pro et perso, ou encore les autres comptes tels que les réseaux sociaux et noms d'utilisateurs, des informations bien plus sensibles sont mises en vente. Le package comprend aussi les adresses mail, les numéros de téléphone, les adresses physiques, les salaires et des fiches de géolocalisation dans le cas où des utilisateurs les ont mentionnées dans leur compte.

Des données proposées au tarif alléchant de 5 000 dollars selon une conversation privée entre le média RestorePrivacy et le pirate en question sur Telegram. Par ailleurs, un échantillon d'un million de profils mis en ligne a bien permis d'authentifier les informations mises en vente, datant d'une période comprise en 2020 et 2021.

LinkedIn reconnait bel et bien qu'une partie des données a été collectée sur son serveur

Contrairement à des rumeurs préalablement annoncées et relayées par plusieurs médias en ligne, LinkedIn reconnait qu'une partie des données mises en vente a bien été collectée sur ses serveurs par le biais de l'API. Cet outil permet de proposer des bases de données d'utilisateurs pour d'autres sites web comprenant nombre des informations contenues dans le package mis en vente.

Néanmoins, selon le réseau social, l'API ne serait pas la seule coupable, puisque le pirate aurait également obtenu ces informations personnelles par le biais « d'autres sources », des sites Web, sans préciser lesquels à ce stade. Pour autant, des données particulièrement sensibles telles que les identifiants de connexion ou encore les informations bancaires des utilisateurs n'auraient pas été dérobées.

Dans une déclaration, LinkedIn considère que l'ensemble des données ne seraient pas « privées ». De quoi jeter un peu plus d'huile sur le feu alors que la confiance des utilisateurs quant à la sécurité de leurs informations enregistrées sur le site est à nouveau mise à mal.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
12
13
malak
Le prix n’étant «&nbsp;que&nbsp;» de 5 000$, c’est vraiment que leur importance est faible et surtout qu’elles ne sont pas si difficiles que ça à obtenir…<br /> Aspirer de la data via les API, y’a rien de nouveau là-dedans, beaucoup d’entreprises en ont fait leur commerce, et de façons parfaitement légale, pas besoin d’être un hacker ^^ (par contre ces entreprises revendent la data bien plus cher que les «&nbsp;hackers&nbsp;»)
Sans_Plot
De ce que j’ai lu des sources de Linkedin, ils précisent qu’ils n’y a eu aucune faille de leurs coté et que c’est juste une agrégation des données volé sur d’autres sites. Ou alors j’ai mal compris
jvachez
Dans le cas de LinkedIn ce n’est pas génant vu que le but du site c’est justement d’être le plus visible possible.
notolik
Sauf que quand tu revends «&nbsp;légalement&nbsp;» des informations (google,facebook and co), ce n’est pas pour que les autres fasse du «&nbsp;social ingenering&nbsp;» pour des escroqueries, des attaques par rebond, …<br /> Quand tu achètes ce genre de donnée, c’est généralement pas pour envoyer des cartes de voeux.<br /> 5000 $ c’est effectivement très peu, mais les dégâts peuvent être monstrueux.<br /> Finalement c’est bien de n’être sur aucun RS…
Fodger
Mmm je suis dubitatif vu que 90% des utilisateurs de linkedin ont leur profil ouvert vu que c’est pour montrer de la disponibilité pro.<br /> P.S. : @jvachez on se rejoint :).
Jerome_tFb
ha ha ha<br /> C’est dur d’échapper aux RS de nos jours.<br /> Perso, je donne le minimum en terme d’info sur mes RS, et essaie d’avaoir le minimum de comptes possibles (pour le moment juste facebook, linkedIn et Twitter).
Urleur
le mieux est de mettre un minimum d’information comme dit et surtout mettre un pseudo et brouiller les pistes et surtout pas de compte facemachin, twitter et autres.
MisterDams
Le problème c’est que LinkedIn dans son usage même t’imposes un minimum d’informations.<br /> Perso dans mon secteur d’activité c’est un incontournable, le moindre interlocuteur avec qui t’échanges, tu vas directement voir sa fonction, son parcours, etc. et il fait de même.<br /> C’est un vrai outil business. Donc si je vais mettre un pseudo sur mon profil, ça n’a aucun intérêt.
norwy
Si rien n’était privé, ce n’est qu’une base de donnée contenant des informations publiques.<br /> Où est le problème ? Où est le délit ?
bmustang
c’est à la portée de tout le monde de ne pas être sur les RS ! ça reste un choix pour communiquer autrement, efficacement.
chasis_fan
Le gros des données des profiles LinkedIn c’est publique en effet et c’est le but, pas de vrai challenge à aspirer via une API officielle.<br /> Par contre s’ils ont bien récupéré les salaires de LinkedIn Salary, la c’est privé et aucune API (officielle du moins ^^) n’expose le salaire d’un individu, ca contreviendrait aux conditions générales d’utilisation<br /> «&nbsp;Understanding Your Salary Data Privacy | LinkedIn Help&nbsp;»<br /> «&nbsp;Les renseignements sur les salaires des membres LinkedIn soumis demeureront privés et ne peuvent être visualisables par personne d’autre. Elles ne seront pas ajoutées à votre profil LinkedIn et ne seront affichées sur votre profil en aucun cas. En outre, vos données de salaire personnelles ne seront jamais partagées avec quiconque, y compris les entreprises ou les recruteurs.&nbsp;»<br /> Donc la il y aurait eu hack ou utilisation d’une API pas très officielle …
Voir tous les messages sur le forum

Derniers actualités

Quand l'app de billetterie de la Coupe du monde crashe... et laisse les spectateurs hors du stade
Black Friday Amazon : TOP 10 des offres choc ce samedi !
La balance connectée Withings Body+ est 30% moins cher pour le Black Friday
Black Friday Fnac : l'excellent Bose Quiet Comfort SE chute de prix !
Fnac brade la Box TV Nvidia Shield 4K à moins 50€ !
Profitez d'un PC gaming et de sa RTX 3080 à prix incroyable pour le Black Friday
Bon plan Apple : l'iPad Air 10,9
Une tablette à ce prix là, c'est forcément une offre Black Friday
Chez Cdiscount, le Samsung Galaxy S20FE 5G est à moins de 400€ pour le Black Friday
Amazon brade les dernières offres pour le week-end du Black Friday
Haut de page