LinkedIn a nié avec force le exposition de données concernant 700 millions d’utilisateurs de sa plate-forme de mise en réseau sur le lieu de travail – plus de 90% de sa base d’utilisateurs totale – qui a été proposée à la vente sur le dark web, est une violation de données, insistant sur le fait que, puisque les données ont été grattées par des acteurs malveillants, elles ne sont pas à faute.
Selon PrivacySharks, qui a été le premier à signaler l’incident le 27 juin, un utilisateur de RaidForums a d’abord déclaré qu’il était en possession du vidage de données le 22 juin et a fourni un échantillon d’un million d’enregistrements comme preuve.
Les chercheurs de l’organisation ont confirmé que les données concernées comprenaient les noms complets, le sexe, les adresses e-mail, les numéros de téléphone et les informations sur l’emploi. Le vidage complet ne semble pas inclure d’enregistrements financiers ou de mots de passe, bien qu’il soit conseillé aux utilisateurs de modifier immédiatement leurs informations de connexion par mesure de précaution et de surveiller systématiquement toute activité suspecte sur leurs cartes de crédit.
Dans un communiqué, LinkedIn a déclaré : « Nos équipes ont enquêté sur un ensemble de données LinkedIn présumées qui ont été mises en vente. Nous voulons être clairs sur le fait qu’il ne s’agit pas d’une violation de données et qu’aucune donnée privée de membre LinkedIn n’a été exposée. Notre enquête initiale a révélé que ces données ont été extraites de LinkedIn et d’autres sites Web divers et incluent les mêmes données signalées plus tôt cette année dans notre Mise à jour du grattage d’avril 2021.
« Les membres font confiance à LinkedIn avec leurs données, et toute utilisation abusive des données de nos membres, telle que le grattage, viole les conditions d’utilisation de LinkedIn. Lorsque quelqu’un essaie de prendre les données des membres et de les utiliser à des fins que LinkedIn n’a pas acceptées, nous nous efforçons de les arrêter et de les tenir responsables.
Bien que l’évaluation de LinkedIn selon laquelle l’ensemble de données est une combinaison de données provenant de fuites précédentes et d’informations extraites de profils publics, et que ses systèmes n’aient pas eux-mêmes été compromis, soit probablement correcte, cela ne rend pas le fait qu’il est mis à disposition pour la vente à des acteurs malveillants n’est pas moins problématique.
Même sans enregistrements financiers, les enregistrements de données personnelles du type contenu dans l’ensemble de données peuvent être facilement utilisés dans des escroqueries d’usurpation d’identité ou pour mener des attaques ciblées d’ingénierie sociale et de phishing qui peuvent être le précurseur d’incidents de sécurité plus graves, tels que des attaques de ransomware. Les données pourraient également se retrouver entre les mains d’annonceurs en ligne et d’organisations de marketing qui peuvent être moins que scrupuleuses dans la façon dont elles les traitent.
Tim Mackey, stratège principal en sécurité au Synopsis CyRC (Cybersecurity Research Centre), a déclaré que même si LinkedIn est techniquement correct dans son évaluation, pour ses utilisateurs, il n’y avait aucune différence entre une attaque contre les serveurs d’une entreprise et l’utilisation abusive d’une interface de programmation d’applications (API) pour obtenir des données. “La perte de données est une perte de données, et les attaquants trouveront le moyen le plus simple d’obtenir les données dont ils ont besoin pour financer leurs opérations”, a-t-il déclaré.
« La perte de données est une perte de données, et les attaquants trouveront le moyen le plus simple d’obtenir les données dont ils ont besoin pour financer leurs opérations »
Tim Mackey, Synopsys CyRC
En effet, a ajouté Mackey, de telles attaques de grattage étaient susceptibles de devenir plus courantes à l’avenir. “Alors que les attaques réussies contre l’infrastructure deviennent plus difficiles à exécuter, les attaquants se concentreront naturellement sur l’abus de méthodes d’accès légitimes telles que les API fournies par les entreprises pour accéder aux données”, a-t-il déclaré.
« Là où les utilisateurs légitimes se soucient des conditions d’utilisation, les criminels ne le feront pas. Il s’agit d’un détail important pour quiconque expose une API sur Internet – ce n’est qu’une question de temps avant que vos API ne soient découvertes et maltraitées », a-t-il ajouté. « La question clé devient alors : à quelle vitesse pouvez-vous détecter une utilisation anormale et prendre des mesures correctives ? Plus votre API est puissante, plus elle sera attrayante pour les criminels. »
Comparitech Le défenseur de la vie privée Paul Bischoff a déclaré que le grattage des données était un problème difficile à combattre pour les plateformes en ligne. « Pour LinkedIn, les scrapers sont souvent indiscernables des utilisateurs légitimes, ce qui rend très difficile leur blocage. Peu importe ce que LinkedIn dit sur l’application de ses conditions d’utilisation, la vérité est que les scrapers ne seront pas arrêtés de si tôt », a-t-il déclaré.
« Facebook et d’autres réseaux sociaux de la même manière lutter pour bloquer les grattoirs, et Facebook essaierait de normaliser la pratique après que des centaines de millions de profils d’utilisateurs aient été supprimés et mis en ligne », a-t-il ajouté.
« Bien que le scraping soit contraire aux conditions d’utilisation de la plupart des réseaux sociaux, les scrapers ne sont pas illégaux. Il y a beaucoup de gens qui soutiennent que toute information accessible au public est un jeu équitable pour les grattoirs, et que les grattoirs peuvent être utilisés à des fins légitimes comme la recherche universitaire et le journalisme.
« Les utilisateurs finaux sont ultimement responsables de la protection de leurs informations personnelles. Si votre page LinkedIn ou un autre profil de réseau social contient des informations personnelles et est visible publiquement, vous devez alors supposer qu’il sera supprimé », a déclaré Bischoff.
