Des données liées à 500 millions de comptes LinkedIn en vente sur le marché noir

Stéphane Moussie |

Une grosse base de données contenant des informations liées à 500 millions de comptes LinkedIn est en vente sur un forum de hackers, rapporte le site CyberNews. La base comprend le nom, l'adresse email, le numéro de téléphone, le sexe ou d'autres éléments renseignés par les membres du réseau professionnel.

Image LinkedIn

Ce commerce de données personnelles fait écho à la base de données de 533 millions de comptes Facebook récemment « libérée » sur le web, mais l'affaire n'est pas identique. Alors que la base Facebook avait pu être constituée en exploitant une vulnérabilité du réseau social, LinkedIn assure qu'il n'y a eu aucune faille dans ses systèmes.

D'après la filiale de Microsoft, il s'agit d'une agrégation de données provenant de plusieurs sites, dont le sien, qui a été « scrapé » (dont le contenu a été extrait de manière automatique grâce à divers outils). D'après les constatations de LinkedIn, aucune donnée de membres privés n'est présente dans la base. Le réseau professionnel ajoute qu'il s'efforce de lutter contre ce type de pratique qui contrevient à ses règles.

Même si LinkedIn se dédouane, le régulateur italien des données personnelles a annoncé l'ouverture d'une enquête et conseille aux utilisateurs d'être vigilants par rapport à l'exploitation des données qui pourrait être faite. À l'instar de la fuite de Facebook, il n'y a ni cartes bancaires ni mots de passe compromis, mais le numéro de téléphone accompagné d'infos supplémentaires peut être employé pour de l'hameçonnage ou d'autres arnaques.


avatar r e m y | 

Bien sûr qu'on sait que les infos peuvent être extraites et recoupées.. quand on est sur LinkedIn on reçoit régulièrement des sollicitations de cabinet de recrutement qui nous trouvent justement de cette façon.
On reçoit également des sollicitations de LinkedIn pour passer à un compte premium en nous expliquant que ça nous permettra justement de faire ce genre d'extraction, de recoupement.
Si on cherche à recruter, on utilise les outils de LinkedIn voire des outils tiers pour procéder à ce genre d'extraction sur la base de filtres, de critères correspondant à ce qu'on cherche comme profil.
Enfin, quand on veut contacter un nouveau client potentiel (je le fais régulièrement), on peut utiliser les infos disponible sur LinkedIn pour reconstituer l'organisation de l'entreprise visée, savoir qui est qui chez eux, qui fait quoi, et identifier le bon interlocuteur à contacter.

Bref, quand on est sur LinkedIn, c'est pour des raisons professionnelles et les infos affichées sont destinées à être utilisées

(Dernier point, on sait aussi que ces infos peuvent être utilisées pour des tentatives "ingénieries sociales" sans que ça nécessite qu'un "bandit" extraie la moindre "base de données", les infos étant en libre accès)

Cette news c'est comme si on voulait faire un scoop en expliquant que quelqu'un a reconstitué l'annuaire téléphonique et cherche à le vendre sous le manteau...

avatar MGA | 

@r e m y

Ok. Quand j’écris « extraire » ça ne veut pas dire que c’est une pratique de bandit. J’ai bien compris que c’est une fonctionnalité très utile mais elle est détournée de son objet. Mon propos n’est pas « Linkedin c’est mal », au contraire c’est un outil de business puissant vous en êtes témoin mais le recoupement avec des bases volées chez d’autres est un risque majeur illustré par cette histoire et je ne suis pas certain que les utilisateurs en soient conscients avant que les « complications » éventuelles se présentent (vol d’identité, chantage, espionnage industriel, c’est rare mais ça existe dans la vraie vie et pas que dans les films)

avatar YetOneOtherGit | 

@MGA

"Ok. Quand j’écris « extraire »"

La nuance entre : Extraire la base et extraire de la base 😉

avatar r e m y | 

Certes ce risque existe, mais il a toujours existé et cette affaire d'une base de 500 millions d'utilisateurs "à vendre" n'y change rien! La base complète de LinkedIn est bien plus conséquente et est tout aussi accessible, c'est là où je parle de non-information.

avatar YetOneOtherGit | 

@r e m y

"et est tout aussi accessible"

Normal elle ne devrait pas l’être il y a une différence entre ce qu’il y a comme informations dans les bases et ce que l’utilisateur décide de rendre public à tous.

Après je suis absolument en ligne avec toi sur la sur-réaction à ce non événement 😉👍

avatar YetOneOtherGit | 

@MGA

"n’imagine que la base peut être extraite"

Ce n’est pas la base qui a été extraite dans ce cas. 😉

Remy t’as fort bien expliqué ce qu’est LinkedIn et le fait que les informations accumulées de façon automatique proviennent de ce qui a été volontairement décider de rendre public pour assumer sa publicité personnelle.

A titre d’exemple dans ce que j’ai choisi de rendre public. il n’y a rien que l’on ne puisse trouver par d’autres sources assez facilement (Annuaire des anciens de mes alma-mater, registre du commerce, site d’informations professionnelles spécialisées, annuaires professionnels divers, site de publication scientifique et technique ...)

avatar MGA | 

@YetOneOtherGit

Ok ok la base n’est pas extraite, les informations publiques de le base sont récupérées avec des outils parfaitement prévus pour ça et faisant partie des fonctionnalités standards.
Ces outils sont des moyens d’extraire des données de la base, pour les présenter sous différentes formes à l’utilisateur. Il n’y a aucune notion de vol dans le fait d’extraire des informations d’une base de données avec un outil prévu pour, « extraction » n’implique pas une action illégitime ou illégale il me semble.
J’ai bien compris que les informations publiques obtenues sur Linkedin ont permis de recréer une base tierce qui est à vendre, là c’est beaucoup moins légitime mais Linkedin n’y est pour rien. Le danger est le recoupement de cette base avec d’autres, et que les utilisateurs n’avaient pas nécessairement imaginé ce cas de figure.

avatar YetOneOtherGit | 

@MGA

"Le danger est le recoupement de cette base avec d’autres, et que les utilisateurs n’avaient pas nécessairement imaginé ce cas de figure."

Il y a tellement d’informations public à recouper et si on passe au niveau des informations dont dispose les entreprises sur leurs clients ...

Là c’est un pet de lapin sur une toile cirée.

Tu n’imagines pas ce que les spécialiste du secteur peuvent inférer sur toi juste avec ton adresse postale et juste avec un recoupement et une analyse de données parfaitement publiques 😉

avatar MGA | 

@YetOneOtherGit

Vous êtes certainement précautionneux dans vos publications mais est-ce réellement le cas de tous les utilisateurs ? Le regroupement de toutes les informations éparses est justement la valeur ajoutée du service, et maintenant de cette base tierce illégitime elle facilite grandement les recoupements avec d’autres informations privées par exemple.

avatar YetOneOtherGit | 

@MGA

"mais est-ce réellement le cas de tous les utilisateurs ?"

Là c’est autre chose : l’éducation du public à la transformation numérique est une absolue nécessité.

Que ce soit en terme de sécurité ou de confidentialité, les bonnes pratiques de base sont souvent foulées au pied et de façon assez inquiétante tout autant par les fantasmatiques Digital Natif.

avatar MGA | 

@YetOneOtherGit

Je crois que je vais m’ouvrir un Linkedin minimaliste rien que pour retrouver de vielles connaissances :-) et expérimenter le bidule.

avatar YetOneOtherGit | 

@MGA

"Je crois que je vais m’ouvrir un Linkedin minimaliste rien que pour retrouver de vielles connaissances :-) et expérimenter le bidule."

C’est le seul réseau social où je suis présent et actif.

Bien utilisé c’est un outil puissant pour accompagner un business ou une carrière.

Pas mal de missions de conseils à l’international me remontent par ce biais et une grande part de l’entretien de mes contacts professionnels même dans un mode badin passe par ce canal de messagerie depuis longtemps.

avatar Fluo | 

Comme c’est surprenant, 1200 € sur ma carte Amex avec l’ID LIEEEUREURFR, remboursés cette semaine par Amex (aussitôt sans aucune contestation).
Et LinkedIn ne s’est pas fait voler de CB ? Tu parles, Charles !

Pages

CONNEXION UTILISATEUR