Skip to main content

LinkedIn : les données personnelles d’un demi-milliard d'utilisateurs ont été vendues à des tiers

protection des données
(Crédit photo: Wright Studio / Shutterstock)

Les données personnelles d'environ 500 millions de comptes LinkedIn ont été cédées, moyennant rétribution, sur un forum dédié au piratage informatique extrêmement populaire.

C’est le spécialiste de la cybersécurité CyberNews qui a découvert cette terrible violation, mettant en lumière un flux conséquent d’identifiants LinkedIn, noms de famille, postes en cours, adresses électroniques, numéros de téléphone, et liens directs vers des profils LinkedIn ou autres réseaux sociaux. Cependant, aucun mot de passe ni information bancaire ne semblent avoir été affectés à ce jour. 

CyberNews a ainsi acheté près de deux millions d’entrées pour seulement deux dollars. La validité de l’échantillon a bien été confirmée - cependant, il n'est pas certain qu'il s'agisse d'informations fraîchement volées ou simplement des données agrégées provenant de brèches précédentes.

Bien que ce lot ne contienne ni mots de passe, ni coordonnées bancaires, il reste une arme dévastatrice entre des mains mal intentionnées. Les fraudeurs et les cybercriminels peuvent utiliser ces données volées pour lancer des attaques de spear-phishing, des usurpations d'identité, ou simplement envoyer des courriels de spam à des millions d'adresses inconnues.

"Les hackers particulièrement déterminés peuvent combiner les informations présentes dans les fichiers divulgués avec le résultat de violations de données antérieures, afin de créer des profils détaillés de leurs victimes potentielles", prévient le rapport. 

"Avec ces données en main, ils peuvent mettre en scène des attaques de phishing et d'ingénierie sociale beaucoup plus convaincantes, voire commettre des usurpations d'identité à l'encontre des personnes dont les informations ont été exposées sur le forum de hacking".

Aujourd’hui, le vendeur de ces données LinkedIn réclame pour leur obtention un montant à quatre chiffres, vraisemblablement en bitcoins. 

LinkedIn toujours plus ciblé

Cette nouvelle survient peu de temps après que les experts en cybersécurité aient mis en garde contre une escroquerie visant les entreprises génératrices d'offres d’emploi sur LinkedIn. Beaucoup de ces dernières se sont vues transmettre un fichier .ZIP supposé contenir CV et lettre de motivation. Au lieu de cela, l'archive contenait une porte dérobée sans fichier, permettant aux attaquants d'installer furtivement d'autres programmes malveillants, des ransomwares et des enregistreurs de frappe (keyloggers).  

Les analystes l'ont décrit comme une "menace redoutable pour les entreprises et les professionnels", car elle est capable d'éviter toute détection (par la plateforme comme par les antivirus) et d'exfiltrer des données personnelles. 

Si vous pensez être la cible d'une campagne de phishing sur LinkedIn, il vous est suggéré de modifier immédiatement vos identifiants, d'activer l'authentification à double facteur et de vous assurer de ne pas cliquer sur des liens ou de télécharger des pièces jointes sur le réseau. A moins d'être absolument certain qu'elles proviennent d'une source légitime. 

LinkedIn n'a pas encore fait de commentaire sur cette attaque présumée.

Via CyberNews

Sead Fadilpašić is a journalist - crypto, blockchain and new tech in general. He is also a hubSpot certified content creator and Writer.