Une mine massive de données de compte LinkedIn a été trouvée en vente en ligne, contenant 500 millions d'enregistrements d'utilisateurs, y compris des adresses e-mail, des numéros de téléphone, des liens vers d'autres profils de réseaux sociaux et des détails professionnels.
La fuite a été publiée sur un forum populaire auprès des pirates informatiques par un utilisateur demandant un « prix minimum $$$$ à quatre chiffres » pour accéder à la base de données complète des informations de compte volées.
Pour prouver la légitimité de l'information, l’individu a inclus deux millions d'enregistrements comme échantillon que les utilisateurs du formulaire peuvent consulter pour 2 $ de crédits spécifiques au forum (payables en bitcoin). Des chercheurs en sécurité ont pu confirmer que les données contenues dans l'échantillon étaient légitimes, mais ont ajouté « qu’il n'est pas clair si l'acteur malveillant vend des profils LinkedIn à jour, ou si les données ont été prises ou agrégées à partir d'une violation antérieure subie. par LinkedIn ou par d'autres sociétés ».
Les données divulguées comprenaient « une variété d'informations principalement professionnelles », notamment des identifiants LinkedIn, des noms complets, des adresses e-mail, des numéros de téléphone, le sexe de l'utilisateur, des liens vers des profils LinkedIn, des liens vers d'autres profils de réseaux sociaux connectés, des titres professionnels ainsi que des données connexes. Les données divulguées ne semblent contenir aucune carte de crédit ou d'autres détails financiers, ou des documents juridiques qui pourraient être utilisés à des fins de fraude.
Cependant, le manque de documentation financière ou d'identification ne signifie pas que les données divulguées ne sont pas dangereuses. « Des attaquants particulièrement déterminés peuvent combiner les informations trouvées dans les fichiers divulgués avec d'autres violations de données afin de créer des profils détaillés de leurs victimes potentielles. Avec ces informations en main, ils peuvent lancer des attaques de phishing et d'ingénierie sociale beaucoup plus convaincantes ou même commettre un vol d'identité contre les personnes dont les informations ont été exposées sur le forum des hackers », estiment des chercheurs.
LinkedIn indique avoir plus de 740 millions d'utilisateurs; si l'acteur malveillant qui vend ce lot de données volées dit la vérité, alors il est prudent de supposer que toute personne possédant un compte LinkedIn pourrait faire partie des 500 millions d'enregistrements divulgués. Dans cet esprit, les utilisateurs de LinkedIn doivent prendre des précautions pour protéger leurs comptes et leurs données personnelles en:
- Modifiant des mots de passe des comptes LinkedIn et des mots de passe des comptes de messagerie associés aux profils LinkedIn.
- Créant un mot de passe fort, aléatoire et unique. Certains pourraient envisager de le stocker dans un gestionnaire de mots de passe qui peut effectuer un remplissage automatique lors des invites de connexions.
- Activant l'authentification à deux facteurs (2FA) sur les comptes LinkedIn et tout autre compte proposant 2FA.
- Se méfiant des messages LinkedIn et des demandes de connexion de personnes inconnues.
- Apprenant à identifier les e-mails et les SMS de phishing.
- S'abstenant d'ouvrir de liens vers des sites Web à partir d'un e-mail, mais plutôt naviguer manuellement vers un site et s'y connecter.
- Procédant à l'installation de logiciels antihameçonnage et antimalware.
En plus de prendre les précautions nécessaires avec votre sécurité, c'est également une bonne idée de vous abonner à un site Web comme Have I Been Pwned, qui vous avertira si votre adresse e-mail est trouvée dans une violation de données qu'elle a scannée et ajoutée à sa base de données principale de comptes compromis. Si vos informations apparaissent dans une recherche Have I Been Pwned, il est important d'agir immédiatement en s'inspirant des meilleures pratiques en matière de sécurité.
Et vous ?
Avez-vous un compte LinkedIn ?
Comment protégez-vous vos informations en ligne en général et l'accès à votre compte LinkedIn en particulier ?