Microsoft : Il ne s'agit pas d'une violation de données LinkedIn
Tout dernièrement, les violations de données visant directement ou indirectement Microsoft se sont multipliées, de l'attaque de SolarWinds au piratage du serveur de messagerie Exchange en passant par le piratage supposé d'un référentiel GitHub privé de l'entreprise. La dernière en date est une archive contenant des données de 500 millions de profils LinkedIn. Les identifiants, les noms, les adresses e-mail et plus de détails personnels font partie de la base de données massive de données volées. Cela pourrait être utilisé pour lancer des attaques supplémentaires sur LinkedIn et ses utilisateurs.
Les données divulguées ne semblent contenir aucune carte de crédit ou d'autres détails financiers, ou des documents juridiques qui pourraient être utilisés à des fins de fraude. Cela dit, le manque de documentation financière ou d'identification ne signifie pas que les données divulguées ne sont pas dangereuses. « Des attaquants particulièrement déterminés peuvent combiner les informations trouvées dans les fichiers divulgués avec d'autres violations de données dans le but de créer des profils détaillés de leurs victimes potentielles », ont déclaré des experts en cybersécurité.
« Avec ces informations en main, ils peuvent lancer des attaques de phishing et d'ingénierie sociale beaucoup plus convaincantes ou même commettre un vol d'identité contre les personnes dont les informations ont été exposées sur le forum des hackers », estiment-ils. Cependant, quelques jours après que les informations de cette base de données gigantesques ont été mises en vente, Microsoft vient rassurer ses clients en déclarant que son site n'a pas été victime d'une violation de données. L'entreprise estime aussi qu'aucune donnée de compte de membre privé de LinkedIn n'a été incluse dans ce qu'elle a pu examiner.
« Les membres confient leurs données à LinkedIn, et nous prenons des mesures afin de protéger cette confiance. Nous avons enquêté sur un prétendu ensemble de données LinkedIn mis en vente et avons déterminé qu'il s'agit en fait d'une agrégation de données provenant d'un certain nombre de sites Web et de sociétés. Il comprend des données de profil de membres accessibles au public qui semblent avoir été extraites de LinkedIn. Il ne s'agit pas d'une violation de données de LinkedIn, et aucune donnée de compte privé de membre de LinkedIn n'a été incluse dans ce que nous avons pu examiner », a écrit Microsoft.
Une prétendue violation touchant 500 millions d'utilisateurs sur 750
« Toute utilisation abusive des données de nos membres, telle que le grattage, viole les conditions d'utilisation de LinkedIn. Lorsque quelqu'un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn et nos membres n'ont pas acceptées, nous nous efforçons de l'arrêter et de le tenir pour responsable », a ajouté l'entreprise après avoir démenti la violation de données. En effet, LinkedIn indique avoir plus de 740 millions d'utilisateurs. Si l'acteur malveillant qui vend ce lot de données volées dit la vérité, alors il est prudent de supposer que toute personne possédant un compte LinkedIn pourrait faire partie de la fuite de données.
Dans cet esprit, les utilisateurs de LinkedIn doivent prendre des précautions pour protéger leurs comptes et leurs données personnelles en :
- modifiant des mots de passe des comptes LinkedIn et des mots de passe des comptes de messagerie associés aux profils LinkedIn ;
- créant un mot de passe fort, aléatoire et unique. Certains pourraient envisager de le stocker dans un gestionnaire de mots de passe qui peut effectuer un remplissage automatique lors des invites de connexions ;
- activant l'authentification à deux facteurs (2FA) sur les comptes LinkedIn et tout autre compte proposant 2FA ;
- se méfiant des messages LinkedIn et des demandes de connexion de personnes inconnues ;
- apprenant à identifier les e-mails et les SMS de phishing ;
- s'abstenant d'ouvrir de liens vers des sites Web à partir d'un e-mail, mais plutôt naviguer manuellement vers un site et s'y connecter ;
- procédant à l'installation de logiciels antihameçonnage et antimalware.
En plus de prendre les précautions nécessaires pour assurer la sécurité de votre compte, cela pourrait également être une bonne idée de vous abonner à un site Web comme Have I Been Pwned. Ce site vous avertira si votre adresse e-mail est trouvée dans une violation de données qu'elle a scannée et ajoutée à sa base de données principale de comptes compromis. Si vos informations apparaissent dans une recherche Have I Been Pwned, il est important d'agir immédiatement en s'inspirant des meilleures pratiques en matière de sécurité.
Sources : LinkedIn, Have I Been Pwned
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi
Une archive contenant des données de 500 millions de profils LinkedIn en vente en ligne, deux millions ont été divulgués en tant qu'échantillon de preuve d'authenticité
Cybersécurité : plus de 3 milliards de mots de passe Gmail et Hotmail divulgués en ligne et aussi des identifiants de connexion à des sites comme Netflix, LinkedIn, et bien d'autres
Un pirate informatique divulgue la base de données de Guns.com avec les données des clients et des administrateurs, il aurait vendu les données sur le dark Web
Les pirates informatiques de SolarWinds ont pu accéder au code source de Microsoft, qui avait précédemment détecté sur son réseau une porte dérobée sans incidence sur son système de production
Comment la confiance des agences US dans des logiciels non testés a ouvert la porte aux piratages, les autorités devraient fixer des exigences minimales de sécurité pour les logiciels et services