- La base de données est en vente sur le dark web, avec des enregistrements comprenant le numéro de contact, les adresses physiques, les informations de géolocalisation et les salaires présumés
- LinkedIn a toutefois rejeté toute compromission d’informations, le de la même manière qu’après un incident comparable deux mois plus tôt
Peu de temps après avoir découvert que plus de 500 millions de comptes LinkedIn avaient été supprimés, un rapport a révélé hier une deuxième série d’expositions d’informations , qui a vu près de 92 % des informations des utilisateurs de la plate-forme de réseautage expert exposées et proposées sur le dark web, avec des enregistrements comprenant des numéros de téléphone, des adresses physiques, des informations de géolocalisation et des salaires présumés.
Les rapports ont indiqué que le pirate informatique qui a obtenu les données a en fait publié un échantillon d’un million d’enregistrements, et les contrôles vérifient que les informations sont à la fois réelles et à jour. Selon les rapports de RestorePrivacy, le pirate informatique semble avoir abusé de l’API principale de LinkedIn pour télécharger les données, la même méthode utilisée dans une violation comparable en avril.
« On Le 22 juin, un utilisateur d’un hacker populaire a promu des informations de 700 millions d’utilisateurs de LinkedIn à vendre. L’utilisateur du forum a publié un échantillon des données qui se compose d’un million d’utilisateurs de LinkedIn. Nous avons examiné l’échantillon et découvert qu’il contenait les éléments suivants informations : adresses e-mail, noms complets, numéro de téléphone, adresses physiques, enregistrements de géolocalisation, nom d’utilisateur et URL de profil LinkedIn, expérience/antécédents personnels et experts, sexes, autres comptes de réseaux sociaux et noms d’utilisateur.
Énorme violation d’informations de Linkedin.
Les données de 700 millions d’utilisateurs, y compris les mots de passe, l’adresse, le numéro de téléphone portable, l’identifiant de messagerie, sont exposées.
Tout le monde modifie immédiatement votre mot de passe Linkedin. pic .twitter.com/ADyYRDzMcP
— SunShine|Eklavya ke Chacha (@ssoninb) juin 30, 2021
« Sur la base de notre analyse et du recoupement des données de l’échantillon avec d’autres détails facilement disponibles, il semble que toutes les données soient authentiques et liées à de véritables utilisateurs. De plus, les données semblent autant que date, avec des échantillons de 2020 à 2021. Nous nous sommes connectés directement à l’utilisateur qui met les données en vente sur le forum en ligne de piratage. Il affirme que les données ont été obtenues en exploitant l’API LinkedIn pour collecter des informations que les gens soumettent au site », indique le rapport.
Aucun mot de passe n’est inclus, comme le note le site Web, ce sont toujours des données précieuses qui peuvent être utilisé pour le vol d’identité et les efforts de phishing d’apparence convaincante qui peuvent eux-mêmes être utilisés pour acquérir des qualifications de connexion pour LinkedIn et d’autres sites.
LinkedIn rejette, encore une fois
Pour la violation précédente, LinkedIn a vérifié que les 500 millions d’enregistrements comprenaient des données acquises à partir de ses serveurs, mais a déclaré que plus d’une source avait été utilisée. Cette fois-ci, la société a en fait publié une déclaration similaire. « Nos groupes ont enquêté sur un ensemble de données LinkedIn supposées qui ont effectivement été publié pour la vente. Nous souhaitons être clairs sur le fait qu’il ne s’agit pas d’une violation de données et qu’aucune donnée personnelle de membre de LinkedIn n’a été exposée », a déclaré l’entreprise dans une note publiée sur son site Web. « Notre examen initial a en fait découvert que ces données avaient été extraites de LinkedIn et d’autres sites Web et se compose des mêmes données signalées précédemment cette année dans notre mise à jour de grattage d’avril 2021. »
Malgré la façon dont les informations se sont retrouvées entre les mains d’un vendeur sur l’un des marchés d’information les plus tristement un problème potentiellement énorme pour les 700 millions de personnes dont les informations sont incluses. Franchement, lorsqu’un utilisateur publie des détails sur lui-même en ligne, la vérité est qu’il est possible pour quiconque de les lire, de les télécharger, de les acheter et de les évaluer. La seule chose dans la méthode se trouve le service d’un site Web (ToS).
LinkedIn garde à l’esprit que ses ToS interdisent spécifiquement le grattage d’informations et que la société a montré sa volonté d’intenter une action en justice, notamment vers nous la start-up « analyse de l’information » hiQ. La 9e Cour d’appel du circuit des États-Unis a statué que le grattage de données était légal en 2019. LinkedIn a poussé l’affaire jusqu’à la Cour suprême des États-Unis, qui plus tôt ce mois-ci a annulé le jugement initial de la juridiction inférieure. LinkedIn aura désormais une autre possibilité de plaider sa cause dans le 9ème Circuit.
Toute l’actualité en temps réel, est sur L’Entrepreneur
