LinkedIn : les données de 500 millions d’utilisateurs en vente sur Internet

Par: Alexandra Patard / Publié le 9 avril 2021 à 10h37, mis à jour le 9 avril 2021 à 15h07

Un échantillon de 2 millions de comptes a été divulgué en guise de preuve.

Près des deux tiers des utilisateurs de LinkedIn dans le monde sont concernés.

Quelques jours après la fuite massive de données qui a touché 533 millions de comptes Facebook dans le monde, c’est au tour de LinkedIn d’être au centre des préoccupations. Un rapport de CyberNews révèle que les données de 500 millions de comptes de LinkedIn, soit près des deux tiers de sa base d’utilisateurs, ont été extraites de la plateforme et mises en vente sur un forum populaire de hackers.

Un échantillon contenant des données de 2 millions de comptes LinkedIn a également été divulgué et mis en vente pour environ 2 dollars de crédit de forum. L’intégralité de la base de données extraite par le hacker est quant à elle proposée en échange d’une somme à 4 chiffres, vraisemblablement sous forme de bitcoin.

L’échantillon des 2 millions de comptes LinkedIn volés divulgué sur un forum populaire de hackers. © CyberNews

Quelles sont les données LinkedIn concernées et l’impact sur les utilisateurs ?

Selon le rapport de CyberNews, qui s’appuie sur les fichiers des 2 millions de comptes divulgués, les données comprennent une grande variété d’informations récupérées sur les profils LinkedIn, à savoir :

• Identifiants LinkedIn,
• Noms complets,
• Adresses email,
• Numéros de téléphone,
• Informations sur le lieu de travail, le titre du poste et d’autres données professionnelles,
• Liens vers les profils LinkedIn,
• Liens vers d’autres profils de médias sociaux.

Toutes les données mises en vente par l’auteur représentent une menace pour les utilisateurs de LinkedIn, qui pourraient ainsi subir des attaques de phishing ciblées, être spammés sur leur adresse email ou leur numéro de téléphone, ou encore être victime d’attaque de force brute contre leur mot de passe pour accéder à leur profil LinkedIn et leur adresse de connexion. CyberNews précise qu’aucune donnée sensible, telle que des numéros de cartes de crédit ou des documents juridiques, ne figure dans les données récoltées.

Des données issues du scraping de profils publics ?

Si le hacker semble affirmer que les données extraites de la plateforme concernent des profils à jour, le rapport de CyberNews émet certains doutes sur ce point : « il n’est pas clair si l’auteur de la menace vend des profils LinkedIn à jour, ou si les données ont été prises ou agrégées à partir d’une violation antérieure subie par LinkedIn ou d’autres entreprises ».

Un propos confirmé par la réaction officielle de la plateforme, qui s’est exprimée dans un bref communiqué :

Nous avons enquêté sur un ensemble présumé de données LinkedIn qui ont été mises en vente et avons déterminé qu’il s’agissait en fait d’une agrégation de données provenant d’un certain nombre de sites web et d’entreprises. Il inclut des données de profil de membres visibles publiquement qui semblent avoir été extraites de LinkedIn. Il ne s’agissait pas d’une violation de données LinkedIn, et aucune donnée de compte de membre privé de LinkedIn n’a été incluse dans ce que nous avons pu examiner.

Comment vérifier si mon compte LinkedIn fait partie de ces données  ?

CyberNews propose un outil de vérification en ligne: https://cybernews.com/personal-data-leak-check/  , qui vous permet de savoir si votre compte fait partie des 500 millions de profils dont les données ont été récoltées et mises en vente par le hackeur. Pour cela, il vous suffit de rentrer votre adresse email de connexion. Le site va alors vérifier si celle-ci figure parmi une base de plus de 15 milliards d’enregistrement volés, dont 780 000 adresses e-mails associées à cette base de données.

 

REF.: