Quelques jours après l'annonce d'une fuite de données qui a touché plus d'un demi-milliard d'utilisateurs de Facebook, un autre lot massif d'informations personnelles est mis en vente sur un forum de piratage. Cette fois-ci, le trésor de données provient de LinkedIn, bien que le site de réseautage social affirme que les enregistrements ne proviennent pas d'une fuite de données ou d'une violation de ses systèmes.
Selon Cybernews, qui a révélé l'affaire, un acteur non identifié prétend avoir récupéré les informations de 500 millions de comptes LinkedIn, soit les deux tiers des utilisateurs du site. Les informations divulguées, qui sont mises en vente aux enchères avec un prix minimum à quatre chiffres, comprendraient un large éventail de données.
Pour renforcer la véracité de leurs affirmations, les pirates ont publié un échantillon de quelque deux millions d'enregistrements comprenant les identifiants LinkedIn des utilisateurs, leurs noms et prénoms, leurs adresses électroniques, leurs numéros de téléphone, leur sexe, des informations sur leur lieu de travail et des liens vers leurs profils de médias sociaux, entre autres. Les parties intéressées peuvent consulter les échantillons divulgués pour la modique somme de 2 $ US.
Le réseau social appartenant à Microsoft conteste toutefois que toutes les informations proviennent uniquement d'eux. « Il ne s'agit pas d'une brèche de données de LinkedIn, et aucune donnée de compte de membre privé de LinkedIn n'a été incluse dans ce que nous avons pu examiner », souligne le communiqué de LinkedIn.
« Nous avons enquêté sur un prétendu ensemble de données de LinkedIn qui a été mis en vente et avons déterminé qu'il s'agit en fait d'une agrégation de données provenant d'un certain nombre de sites Web et de sociétés », ajoute le réseau social. Toutefois, le site confirme que la base de données comprend des informations provenant de profils de membres accessibles au public, qui peuvent avoir été extraites de son site Web.
On ne sait toujours pas si les données mises en vente sont à jour ou si elles ont été recueillies lors d'une précédente brèche de données subie par le réseau social professionnel et d'autres entreprises.
Comme l'a judicieusement souligné Tony Anscombe, évangéliste en chef de la sécurité chez ESET, la plupart des informations obtenues lors de violations de données ne perdent pas vraiment de leur valeur avec le temps, ce qui signifie que des acteurs de la menace suffisamment motivés pourraient en abuser pour toutes sortes d'attaques. Il peut s'agir de campagnes d'hameçonnage ciblées, d'attaques d'ingénierie sociale ou encore de l'utilisation des données divulguées pour commettre un vol d'identité.
Pour réduire les risques d'être victimes de cybercriminels entreprenants, les utilisateurs de LinkedIn ont tout intérêt à renforcer leur sécurité. Avant tout, méfiez-vous des messages non sollicités provenant d'inconnus et contenant des liens ou des pièces jointes suspects. Si vous pensez que vos données pourraient faire partie de la fuite, envisagez de changer votre mot de passe, ou mieux encore, utilisez un gestionnaire de mots de passe qui générera pour vous un mot de passe difficile à craquer. Il est également fortement recommandé d'activer l'authentification multifactorielle, idéalement au moyen d'un token matériel ou d'une application mobile.