Quelques semaines après l’annonce d’une archive colossale d’informations de 500 millions Utilisateurs Linkedin mis en vente en ligne, le réseau social dédié aux professionnels s’est retrouvé à nouveau à l’honneur pour un encore plus sérieux. Tel que rapporté par Privacy Sharks, il était en effet mise à disposition une autre base de données contenant des informations sensibles de 700 millions de personnes inscrites sur le site, soit environ 92 pour cent du total. Ce dernier dossier a également été mis en vente sur un forum en ligne.
Données à vendre
L’archive contient noms et prénoms, e-mails, numéros de téléphone et adresses des utilisateurs, ainsi que des informations encore plus précieuses telles que i CV et salaires potentiels. Il s’agit essentiellement d’une archive à travers laquelle les escrocs potentiels peuvent facilement lancer campagnes de phishing et autres escroqueries large spectre. L’information n’a pas été publiée dans son intégralité; les pirates qui les ont obtenus les ont cependant mis en vente, laissant les données d’un million de personnes disponibles pour prouver l’authenticité de ce qui était offert aux plus offrants.
La réaction de Linkedin
L’histoire a déjà été commentée par les responsables du réseau social, qu’ils ont pourtant a nié avoir subi une violation la technologie informatique. Linkedin prétend que les données ils n’ont pas été obtenus avec des techniques d’intrusion, mais qu’il s’agisse d’informations que les utilisateurs ont substantiellement rendues publiques par eux-mêmes, puis accumulées avec des techniques automatisées auxquelles se réfère le terme anglais grattage. Le réseau social a alors précisé qu’il ne quittait pas sa plateforme toute information privée des utilisateurs.
Violation ou pas
De ce point de vue, les responsables de la plateforme ont techniquement raison : celles extraites par la tonne sont toutes des données que les utilisateurs ont décidé d’inclure dans leurs profils et de garder publiques. Les pirates ont ratissé ces données en écrivant des algorithmes qui se connectent automatiquement aux serveurs Linkedin pour visiter encore et encore des millions de pages et utiliser leur contenu pour compiler la base de données puis mettre en ligne. Le problème est que les victimes de l’attaque ont décidé de garder leurs informations publiques pour des raisons précises qui dériver de la nature même de Linkedin – un réseau social dont les utilisateurs ils veulent être trouvés d’employeurs potentiels encore inconnus.
Par conséquent, mis à part la tréminologie – et plus encore que ce qui se passe sur des sites comme Facebook – le réseau social devrait empêcher des techniques d’accumulation similaires, ou au moins avertir les utilisateurs que s’exposer sur les pages de la plateforme être trouvé par les recruteurs et les contacts met en péril leur vie privée. Pour le moment, il n’est pas possible de savoir avec certitude si votre profil fait partie de ceux proposés à la vente, puisque le contenu de la base de données n’a pas encore été inclus dans le service Haveibeenpwnd qui vous permet de faire cette vérification ; compte tenu du pourcentage d’utilisateurs impliqués, cependant, il est raisonnable de supposer le pire.