Les données de 700 millions d'utilisateurs de LinkedIn en vente, soit plus de 92 % du total des 756 millions d'utilisateurs : encore du scraping de données

Une autre scraping de donnée de LinkedIn aurait permis d'exposer les enregistrements de 700 millions d'utilisateurs, soit plus de 92 % du total des 756 millions d'utilisateurs. L’ensemble des données volées est en vente sur le dark web, avec des enregistrements comprenant des numéros de téléphone, des adresses physiques, des données de géolocalisation et des références aux salaires. PrivacyShark, le premier à rapporter cette information, a obtenu une déclaration de LinkedIn, qui a également publié une déclaration dans laquelle l'entreprise affirme qu'elle est victime d'un "scraping de données" et non d'une violation de sécurité. RestorePrivacy rapporte que le pirate semble avoir abusé de l'API officielle de LinkedIn pour télécharger les données.

Jusqu'à présent, en 2021, nous avons déjà assisté à deux incidents distincts de scraping de donnée des utilisateurs de LinkedIn où des acteurs malveillants ont exploité la plateforme de réseautage professionnel pour récolter de grandes quantités de données d'utilisateurs. Les implications de cette situation sont vastes, allant du vol d'identité aux attaques de phishing, en passant par les attaques d'ingénierie sociale, et plus encore.


LinkedIn a vigoureusement nié que l'exposition des données relatives à 700 millions d'utilisateurs de sa plateforme de mise en réseau des travailleurs qui ont été mises en vente sur le dark web, soit une violation de données, insistant sur le fait que puisque les données ont été récupérées d’une autre manière par des acteurs malveillants, la société n'est pas en faute. Selon l’organisation PrivacySharks, un utilisateur d'un forum de piratage populaire a déclaré pour la première fois être en possession des données le 22 juin et a mis en ligne un échantillon d'un million d'enregistrements comme preuve.

Les chercheurs de l'organisation ont confirmé que les données concernées comprennent les noms complets, le sexe, les adresses électroniques, les numéros de téléphone, adresses physiques, enregistrements de géolocalisation, nom d'utilisateur et URL du profil LinkedIn et les informations relatives à l'emploi. Sur la base de l’analyse et du recoupement des données de l'échantillon avec d'autres informations accessibles au public, le groupe a trouvé que toutes les données sont authentiques et liées à de vrais utilisateurs. De plus, les données semblent être à jour, avec des échantillons de 2020 à 2021.

La totalité des données ne semble pas inclure d'enregistrements financiers ou de mots de passe, bien que les utilisateurs soient invités à modifier immédiatement leurs informations de connexion par précaution, et qu'ils devraient garder un œil sur toute activité suspecte sur leurs cartes de crédit.

Contacté directement, l'utilisateur qui a mis les données en vente sur le forum de piratage a affirmé que les données ont été obtenues en exploitant l'API de LinkedIn pour récolter les informations que les gens téléchargent sur le site. Dans une copie d’écran d’échange entre lui et PrivacySharks sur Telegram, on peut voir qu'il demande 5 000 dollars pour l'ensemble des données et qu'il affirme que les données ont été obtenues via l'API de LinkedIn.


Dans un communiqué le mardi, LinkedIn a déclaré : « Nos équipes ont enquêté sur un ensemble de données LinkedIn présumées qui ont été mises en vente. Nous tenons à préciser qu'il ne s'agit pas d'une violation de données et qu'aucune donnée privée de membre de LinkedIn n'a été exposée. Notre enquête initiale a révélé que ces données ont été grattées à partir de LinkedIn et d'autres sites Web divers et comprennent les mêmes données signalées plus tôt cette année dans notre mise à jour d'avril 2021 sur le grattage.

« Les membres font confiance à LinkedIn avec leurs données, et toute utilisation abusive des données de nos membres, comme le scraping, viole les conditions de service de LinkedIn. Lorsque quelqu'un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn et nos membres n'ont pas acceptées, nous travaillons pour les arrêter et les tenir responsables ».

Quelles conséquences pourrait avoir cet incident sur les données des utilisateurs ?

Il est important de noter que LinkedIn ne nie pas que des données ont été récoltées sur ses serveurs. Ils soulignent simplement que certaines des données ont également été obtenues à partir "d'autres sites Web divers" et qu’ils ne considèrent pas que vos données LinkedIn qui ont été exposées sont "privées".

Bien que l'évaluation de LinkedIn selon laquelle l'ensemble des données est une combinaison de données provenant de fuites précédentes et d'informations grattées à partir de profils accessibles au public, et que ses systèmes n'ont pas eux-mêmes été compromis, soit probablement correcte, cela ne rend pas moins problématique le fait qu'il soit mis en...