Une faille sur LinkedIn expose les données de 92 % des utilisateurs, y compris les salaires

Thibaut Keutchayan
02 juillet 2021 à 10h51
12
© LinkedIn
© LinkedIn

Décidément, il ne fait pas bon d'avoir des comptes sur les réseaux sociaux en cette année 2021, qu'ils soient professionnels ou non. LinkedIn, qui cumule près de 756 millions d'utilisateurs dans le monde, a vu les données de près de 92 % des inscrits sur son site être mises en vente sur le dark web.

Une bien mauvaise nouvelle dont l'ampleur semble supérieure à la collecte de données subie en avril 2021 et qui avait déjà touché près de 500 millions d'utilisateurs : cette fois-ci, les numéros de téléphone, les adresses e-mail et les salaires seraient compris dans le package.

Lire aussi :
Piratage : les données de 500 millions d'utilisateurs de LinkedIn hackées et mises en vente en ligne

Des pirates plus efficaces que les recruteurs

C'est une nouvelle fuite de données qui ne devrait en rien ravir les utilisateurs du réseau social professionnel LinkedIn. Forte de 756 millions d'utilisateurs à travers le monde, la propriété de Microsoft a fait l'objet d'un nouveau leak le 22 juin 2021 après un premier épisode d'ampleur en avril dernier. Les données publiques de 500 millions d'utilisateurs avaient alors été rassemblées et vendues, ce qui n'avait pas été sans causer l'émoi de nombreux utilisateurs contraints de limiter encore plus les données de leur compte visibles de tous.

Quelles données sont cette fois-ci concernées ? Outre les noms complets, le nom d'utilisateur et l'URL du profil LinkedIn, le genre, l'expérience/parcours pro et perso, ou encore les autres comptes tels que les réseaux sociaux et noms d'utilisateurs, des informations bien plus sensibles sont mises en vente. Le package comprend aussi les adresses mail, les numéros de téléphone, les adresses physiques, les salaires et des fiches de géolocalisation dans le cas où des utilisateurs les ont mentionnées dans leur compte.

Des données proposées au tarif alléchant de 5 000 dollars selon une conversation privée entre le média RestorePrivacy et le pirate en question sur Telegram. Par ailleurs, un échantillon d'un million de profils mis en ligne a bien permis d'authentifier les informations mises en vente, datant d'une période comprise en 2020 et 2021.

Lire aussi :
RockYou2021 : 8,4 milliards de mots de passe dans la nature, pour un fichier de quelque 100 Go

LinkedIn reconnait bel et bien qu'une partie des données a été collectée sur son serveur

Contrairement à des rumeurs préalablement annoncées et relayées par plusieurs médias en ligne, LinkedIn reconnait qu'une partie des données mises en vente a bien été collectée sur ses serveurs par le biais de l'API. Cet outil permet de proposer des bases de données d'utilisateurs pour d'autres sites web comprenant nombre des informations contenues dans le package mis en vente.

Néanmoins, selon le réseau social, l'API ne serait pas la seule coupable, puisque le pirate aurait également obtenu ces informations personnelles par le biais « d'autres sources », des sites Web, sans préciser lesquels à ce stade. Pour autant, des données particulièrement sensibles telles que les identifiants de connexion ou encore les informations bancaires des utilisateurs n'auraient pas été dérobées.

Dans une déclaration, LinkedIn considère que l'ensemble des données ne seraient pas « privées ». De quoi jeter un peu plus d'huile sur le feu alors que la confiance des utilisateurs quant à la sécurité de leurs informations enregistrées sur le site est à nouveau mise à mal.

Sources : 9to5Mac, RestorePrivacy, LinkedIn

Thibaut Keutchayan

Thibaut Keutchayan

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train...

Lire d'autres articles

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (12)

malak
Le prix n’étant «&nbsp;que&nbsp;» de 5 000$, c’est vraiment que leur importance est faible et surtout qu’elles ne sont pas si difficiles que ça à obtenir…<br /> Aspirer de la data via les API, y’a rien de nouveau là-dedans, beaucoup d’entreprises en ont fait leur commerce, et de façons parfaitement légale, pas besoin d’être un hacker ^^ (par contre ces entreprises revendent la data bien plus cher que les «&nbsp;hackers&nbsp;»)
Sans_Plot
De ce que j’ai lu des sources de Linkedin, ils précisent qu’ils n’y a eu aucune faille de leurs coté et que c’est juste une agrégation des données volé sur d’autres sites. Ou alors j’ai mal compris
jvachez
Dans le cas de LinkedIn ce n’est pas génant vu que le but du site c’est justement d’être le plus visible possible.
notolik
Sauf que quand tu revends «&nbsp;légalement&nbsp;» des informations (google,facebook and co), ce n’est pas pour que les autres fasse du «&nbsp;social ingenering&nbsp;» pour des escroqueries, des attaques par rebond, …<br /> Quand tu achètes ce genre de donnée, c’est généralement pas pour envoyer des cartes de voeux.<br /> 5000 $ c’est effectivement très peu, mais les dégâts peuvent être monstrueux.<br /> Finalement c’est bien de n’être sur aucun RS…
Fodger
Mmm je suis dubitatif vu que 90% des utilisateurs de linkedin ont leur profil ouvert vu que c’est pour montrer de la disponibilité pro.<br /> P.S. : @jvachez on se rejoint :).
Jerome_tFb
ha ha ha<br /> C’est dur d’échapper aux RS de nos jours.<br /> Perso, je donne le minimum en terme d’info sur mes RS, et essaie d’avaoir le minimum de comptes possibles (pour le moment juste facebook, linkedIn et Twitter).
Urleur
le mieux est de mettre un minimum d’information comme dit et surtout mettre un pseudo et brouiller les pistes et surtout pas de compte facemachin, twitter et autres.
MisterDams
Le problème c’est que LinkedIn dans son usage même t’imposes un minimum d’informations.<br /> Perso dans mon secteur d’activité c’est un incontournable, le moindre interlocuteur avec qui t’échanges, tu vas directement voir sa fonction, son parcours, etc. et il fait de même.<br /> C’est un vrai outil business. Donc si je vais mettre un pseudo sur mon profil, ça n’a aucun intérêt.
norwy
Si rien n’était privé, ce n’est qu’une base de donnée contenant des informations publiques.<br /> Où est le problème ? Où est le délit ?
bmustang
c’est à la portée de tout le monde de ne pas être sur les RS ! ça reste un choix pour communiquer autrement, efficacement.
chasis_fan
Le gros des données des profiles LinkedIn c’est publique en effet et c’est le but, pas de vrai challenge à aspirer via une API officielle.<br /> Par contre s’ils ont bien récupéré les salaires de LinkedIn Salary, la c’est privé et aucune API (officielle du moins ^^) n’expose le salaire d’un individu, ca contreviendrait aux conditions générales d’utilisation<br /> «&nbsp;Understanding Your Salary Data Privacy | LinkedIn Help&nbsp;»<br /> «&nbsp;Les renseignements sur les salaires des membres LinkedIn soumis demeureront privés et ne peuvent être visualisables par personne d’autre. Elles ne seront pas ajoutées à votre profil LinkedIn et ne seront affichées sur votre profil en aucun cas. En outre, vos données de salaire personnelles ne seront jamais partagées avec quiconque, y compris les entreprises ou les recruteurs.&nbsp;»<br /> Donc la il y aurait eu hack ou utilisation d’une API pas très officielle …
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

5,4 millions de comptes Twitter hackés sont en vente sur le dark web 5,4 millions de comptes Twitter hackés sont en vente sur le dark web
Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre Le réseau Neopets hacké : les données de 69 millions d'utilisateurs sont à vendre
Pourquoi les hackers russes volent des accès VPN d'universités américaines Pourquoi les hackers russes volent des accès VPN d'universités américaines
Oui, les pirates peuvent aussi hacker les comptes que vous n'avez pas encore créés Oui, les pirates peuvent aussi hacker les comptes que vous n'avez pas encore créés
Hotels MGM : les données personnelles de 30 millions de clients publiées sur Telegram Hotels MGM : les données personnelles de 30 millions de clients publiées sur Telegram