IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les données de 700 millions d'utilisateurs de LinkedIn en vente, soit plus de 92 % du total des 756 millions d'utilisateurs : encore du scraping de données

Le , par Stan Adkens

174PARTAGES

16  0 
Une autre scraping de donnée de LinkedIn aurait permis d'exposer les enregistrements de 700 millions d'utilisateurs, soit plus de 92 % du total des 756 millions d'utilisateurs. L’ensemble des données volées est en vente sur le dark web, avec des enregistrements comprenant des numéros de téléphone, des adresses physiques, des données de géolocalisation et des références aux salaires. PrivacyShark, le premier à rapporter cette information, a obtenu une déclaration de LinkedIn, qui a également publié une déclaration dans laquelle l'entreprise affirme qu'elle est victime d'un "scraping de données" et non d'une violation de sécurité. RestorePrivacy rapporte que le pirate semble avoir abusé de l'API officielle de LinkedIn pour télécharger les données.

Jusqu'à présent, en 2021, nous avons déjà assisté à deux incidents distincts de scraping de donnée des utilisateurs de LinkedIn où des acteurs malveillants ont exploité la plateforme de réseautage professionnel pour récolter de grandes quantités de données d'utilisateurs. Les implications de cette situation sont vastes, allant du vol d'identité aux attaques de phishing, en passant par les attaques d'ingénierie sociale, et plus encore.


LinkedIn a vigoureusement nié que l'exposition des données relatives à 700 millions d'utilisateurs de sa plateforme de mise en réseau des travailleurs qui ont été mises en vente sur le dark web, soit une violation de données, insistant sur le fait que puisque les données ont été récupérées d’une autre manière par des acteurs malveillants, la société n'est pas en faute. Selon l’organisation PrivacySharks, un utilisateur d'un forum de piratage populaire a déclaré pour la première fois être en possession des données le 22 juin et a mis en ligne un échantillon d'un million d'enregistrements comme preuve.

Les chercheurs de l'organisation ont confirmé que les données concernées comprennent les noms complets, le sexe, les adresses électroniques, les numéros de téléphone, adresses physiques, enregistrements de géolocalisation, nom d'utilisateur et URL du profil LinkedIn et les informations relatives à l'emploi. Sur la base de l’analyse et du recoupement des données de l'échantillon avec d'autres informations accessibles au public, le groupe a trouvé que toutes les données sont authentiques et liées à de vrais utilisateurs. De plus, les données semblent être à jour, avec des échantillons de 2020 à 2021.

La totalité des données ne semble pas inclure d'enregistrements financiers ou de mots de passe, bien que les utilisateurs soient invités à modifier immédiatement leurs informations de connexion par précaution, et qu'ils devraient garder un œil sur toute activité suspecte sur leurs cartes de crédit.

Contacté directement, l'utilisateur qui a mis les données en vente sur le forum de piratage a affirmé que les données ont été obtenues en exploitant l'API de LinkedIn pour récolter les informations que les gens téléchargent sur le site. Dans une copie d’écran d’échange entre lui et PrivacySharks sur Telegram, on peut voir qu'il demande 5 000 dollars pour l'ensemble des données et qu'il affirme que les données ont été obtenues via l'API de LinkedIn.


Dans un communiqué le mardi, LinkedIn a déclaré : « Nos équipes ont enquêté sur un ensemble de données LinkedIn présumées qui ont été mises en vente. Nous tenons à préciser qu'il ne s'agit pas d'une violation de données et qu'aucune donnée privée de membre de LinkedIn n'a été exposée. Notre enquête initiale a révélé que ces données ont été grattées à partir de LinkedIn et d'autres sites Web divers et comprennent les mêmes données signalées plus tôt cette année dans notre mise à jour d'avril 2021 sur le grattage.

« Les membres font confiance à LinkedIn avec leurs données, et toute utilisation abusive des données de nos membres, comme le scraping, viole les conditions de service de LinkedIn. Lorsque quelqu'un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn et nos membres n'ont pas acceptées, nous travaillons pour les arrêter et les tenir responsables ».

Quelles conséquences pourrait avoir cet incident sur les données des utilisateurs ?

Il est important de noter que LinkedIn ne nie pas que des données ont été récoltées sur ses serveurs. Ils soulignent simplement que certaines des données ont également été obtenues à partir "d'autres sites Web divers" et qu’ils ne considèrent pas que vos données LinkedIn qui ont été exposées sont "privées".

Bien que l'évaluation de LinkedIn selon laquelle l'ensemble des données est une combinaison de données provenant de fuites précédentes et d'informations grattées à partir de profils accessibles au public, et que ses systèmes n'ont pas eux-mêmes été compromis, soit probablement correcte, cela ne rend pas moins problématique le fait qu'il soit mis en vente à des acteurs malveillants.

Même en l'absence de données financières, les données personnelles du type de celles contenues dans l'ensemble de données peuvent être facilement utilisées dans le cadre d'escroqueries par usurpation d'identité ou pour mener des attaques ciblées d'ingénierie sociale et de phishing qui peuvent être le précurseur d'incidents de sécurité plus graves, tels que des attaques par ransomware. Les données peuvent également se retrouver entre les mains d'annonceurs et d'organisations de marketing en ligne qui peuvent être moins scrupuleux dans la façon dont ils les traitent.


Suite à la mise en vente en ligne en avril d’une archive contenant des données de 500 millions de profils LinkedIn, des experts en cybersécurité ont indiqué que le manque de documentation financière ou d'identification ne signifie pas que les données divulguées ne sont pas dangereuses. « Des attaquants particulièrement déterminés peuvent combiner les informations trouvées dans les fichiers divulgués avec d'autres violations de données dans le but de créer des profils détaillés de leurs victimes potentielles ».

Après cette dernière attaque par scraping, Tim Mackey, principal stratège en matière de sécurité au CyRC (Cybersecurity Research Centre) de Synopsys, a déclaré que même si LinkedIn a techniquement raison dans son évaluation, pour ses utilisateurs, il n'y a pas de différence entre une attaque sur les serveurs d'une entreprise et l'utilisation abusive d'une interface de programmation d'applications (API) pour obtenir des données. « La perte de données est une perte de données, et les attaquants trouveront le moyen le plus simple d'obtenir les données dont ils ont besoin pour financer leurs opérations », a-t-il déclaré.

En effet, a ajouté Mackey, de telles attaques par scraping étaient susceptibles de devenir plus courantes à l'avenir. « Comme les attaques réussies sur l'infrastructure deviennent plus difficiles à exécuter, les attaquants vont naturellement se concentrer sur l'abus des méthodes d'accès légitimes comme les API fournies par les entreprises pour accéder aux données », a-t-il indiqué.

« Là où les utilisateurs légitimes se soucient des conditions de service, les criminels ne le feront pas. Il s'agit d'un détail important pour quiconque expose une API sur l'internet – ce n'est qu'une question de temps avant que vos API ne soient découvertes et utilisées de manière abusive », a-t-il ajouté. « La question clé est alors de savoir à quelle vitesse vous pouvez détecter une utilisation anormale et prendre des mesures correctives. Plus votre API est puissante, plus elle sera attrayante pour les criminels ».

Paul Bischoff, défenseur de la vie privée chez Comparitech, a déclaré que le scraping de données était un problème que les plateformes en ligne avaient du mal à combattre. « Pour LinkedIn, les "gratteurs" sont souvent indiscernables des utilisateurs légitimes, ce qui rend très difficile leur blocage. Peu importe ce que LinkedIn dit sur l'application de ses conditions de service, la vérité est que les "gratteurs" ne seront pas arrêtés de sitôt », a-t-il déclaré.

« Facebook et d'autres réseaux sociaux ont également du mal à bloquer les "gratteurs", et il semblerait que Facebook tente de normaliser cette pratique après que des centaines de millions de profils de ses utilisateurs ont été grattés et mis en ligne », a-t-il ajouté. « Bien que le scraping soit contraire aux conditions d'utilisation de la plupart des réseaux sociaux, les "gratteurs" ne sont pas illégaux. Nombreux sont ceux qui affirment que toute information accessible au public peut être utilisée par les "gratteurs", et que ces dernières peuvent être utilisées à des fins légitimes, comme la recherche universitaire et le journalisme ».

Que faire pour protéger ces informations du scraping de données ?

« Les utilisateurs finaux sont responsables en dernier ressort de la protection de leurs informations personnelles. Si votre page LinkedIn ou tout autre profil de média social contient des informations personnelles et est accessible au public, vous devez partir du principe qu'il sera gratté », a ajouté Bischoff.

Toute entreprise, tout individu ou toute entité qui a le contrôle de vos données privées vous fait courir un risque. Pour minimiser ce risque, vous devez limiter la quantité de données accessibles aux autres, a recommandé PrivacyShark. Il peut s'agir de se retirer complètement de tous les réseaux sociaux ou de limiter les informations que vous partagez.

Il faudra également opter essentiellement pour des produits et services qui ne collectent pas vos informations personnelles à des fins lucratives, tels que des navigateurs sécurisés qui respectent votre vie privée et ne collectent pas vos données pour les réseaux publicitaires. Le groupe recommande également l’utilisation des services de messagerie électronique sécurisés et privés qui ne vendent pas l'accès à votre boîte de réception et ne passent pas vos messages au peigne fin. Vous devez aussi opter pour des moteurs de recherche privés. Et vous, qu’en pensez-vous ?

Source : LinkedIn

Et vous ?

Que pensez-vous de ce second scraping de donnée des utilisateurs de LinkedIn cette année ?
Les données mises en vente ont été obtenues par le scraping de données, d’après LinkedIn. Comment protégez-vous vos comptes réseaux sociaux de cette pratique ?

Voir aussi :

Microsoft aurait démenti le vol des données de 500 millions de comptes Linkedin, assurant qu'il n'y a eu aucune violation de données impliquant le site
Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données, toutes les informations semblent être des données accessibles au public
Des données appartenant à 11 millions d'utilisateurs français volées à la plateforme marketing Apollo ont été mises en vente, les fichiers comprennent des noms et des adresses
Une fuite de données gigantesque expose les informations personnelles de 220 millions de Brésiliens, l'incident a été signalé par le dfndr lab, le laboratoire de cybersécurité de Psafe

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Aspartame
Membre confirmé https://www.developpez.com
Le 01/07/2021 à 11:14
techniquement , il n'y a pas eu violation de données !

... elles étaient consentantes
10  1 
Avatar de plegat
Expert éminent https://www.developpez.com
Le 01/07/2021 à 15:36
Le "pirate" a juste récupéré des informations "publiques". Elles étaient peut-être personnelles, certes, mais elles étaient publiées de manière publique...

De base, LinkedIn est tout de même le principe même de l'affichage délibéré de données personnelles! Nom, prénom, date de naissance, études, employeurs, centres d'intérêts, contacts... aucun besoin de "piratage" pour avoir des informations sur n'importe qui...

Citation Envoyé par Stan Adkens Voir le message

Les données mises en vente ont été obtenues par le scraping de données, d’après LinkedIn. Comment protégez-vous vos comptes réseaux sociaux de cette pratique ?
Comment protéger une infrastructure dont on n'est pas responsable?

Le plus simple, ne pas donner d'informations qu'on ne veut pas perdre, car comme dit dans l'article:

Citation Envoyé par Stan Adkens Voir le message

« Les utilisateurs finaux sont responsables en dernier ressort de la protection de leurs informations personnelles. Si votre page LinkedIn ou tout autre profil de média social contient des informations personnelles et est accessible au public, vous devez partir du principe qu'il sera gratté », a ajouté Bischoff.
2  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 20/08/2021 à 10:26
Honnêtement, ça ne semble pas être un gros problème. Peut-être pour les gens qui n'ont pas réalisé ce qu'ils avaient sur leur profil public disponible pour ... littéralement tout le monde. Mais ce que cette personne a fait en raclant les données ? Je veux dire, peu importe, qui s'en soucie. Ce n'était pas des données "volées".
1  0 
Avatar de archqt
Membre émérite https://www.developpez.com
Le 01/07/2021 à 14:26
Il y a quand même une différence de taille, cela veut dire qu'il n'y a pas de vol du mot de passe.
0  0 
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 01/07/2021 à 17:58
Il y a quand même une différence de taille, cela veut dire qu'il n'y a pas de vol du mot de passe.
La plupart des fuites de données de ces dernières années exposent rarement le mot de passe car ils sont chiffrés en base (à part pour certains qui ont tout de même continué à tout mettre en clair ...).
0  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 04/07/2021 à 23:27
Bonsoir

Que pensez-vous de ce second scraping de donnée des utilisateurs de LinkedIn cette année ?
Autant de donnée c'est clairement un piratage ... Un défaut de conception manifeste ou LinkedIn essaye de se défosser pour dire "oui mais c'est normal" . Un juge censé ne laisserait pas passer une telle situation .

C'est comme ci on aspirait toutes les données papiers des annuaires de téléphone de partout ... Bon arrivé à un certain moment cela pose question sur la finalité ... Et une

Les données mises en vente ont été obtenues par le scraping de données, d’après LinkedIn. Comment protégez-vous vos comptes réseaux sociaux de cette pratique ?
1) Pas de référencement des réseaux sociaux vers Google et Microsoft ni même Yahoo.
2) Suppression de la moindre photo (mieux je n'en poste plus depuis des années ...)
3) Vrai prénom et nom partiellement tronqué pour rendre difficile la recherche (mieux encore: être volontairement confondu avec des homonymes n'ayant rien a voir )
4) suppression des comptes de réseaux sociaux totalement inutiles (linkedin, viadéo , facebook, twitter ... )

En gros rendre la tache "hardue" à qui veut essayer de vous retrouver sur le web
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 20/07/2021 à 15:59
Je ne l'utilise pas, sauf pour chercher des emplois. Certaines personnes veulent en faire un Facebook ? Pourquoi ai-je besoin de suivre Forbes sur LinkedIn ? Je ne comprends pas.
0  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 25/07/2021 à 15:38
Bonjour,

Quels commentaires faites-vous de la situation ?
Si le scraping n'est pas du piratage , l'entreprise pourrait se retourner contre le scrapeur pour :

> utilisation non conforme et abusive du son site
> plagiat ou tentative de plagiat (rien n'indique si le scrapeur n'a pas dans l'idée de lancer un concurrent de linkedin...)
> les données étant publiques , une institution judiciaire pourrait condamner le scrapeur pour "fichage" ou "tentative de sondage sauvage" ...

Les données mises en vente ont été obtenues par le scraping de données, d’après LinkedIn. Comment protégez-vous vos comptes réseaux sociaux de cette pratique ?
Je diffuse le moins d'informations possible :

> pas de référencement sur les moteurs de recherches
> rester évasif sur le lieu géographiques
> aucune photo
> rester évasif entre un pseudo et un prénom , en gros ne rien corréler
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 21/08/2021 à 9:24
Ils l'ont étiqueté comme un pirate informatique. Lorsqu'on a affaire à des ordinateurs et au grand public, on utilise des mots clés. Ils ont utilisé hacker pour le définir pour la connotation négative. Il les a fait mal paraître et maintenant ils veulent le faire mal paraître.
0  1