À quelques jours de la découverte du vol massif de données personnelles perpétré contre Facebook qui a impliqué un demi-milliard d’utilisateurs dans le monde, cette fois-ci Linkedin est celui qui fait les frais des cybercriminels, le réseau social professionnel par excellence utilisé principalement dans le développement des relations de travail. Une énorme archive contenant des données prétendument volées par 500 millions de profils Linkedin a en effet été mise en vente en ligne, avec 2 autres millions d’enregistrements présentés comme un échantillon de preuve d’authenticité par l’auteur du post qui a fait l’annonce sur un populaire forum de piratage.
Étant donné que le nombre de profils impliqués se rapproche de la quasi-totalité des utilisateurs de Linkedin, qui compte au niveau mondial plus de 600 millions d’abonnés, la crainte est maintenant que même une bonne partie des 21 millions d’utilisateurs italiens soit impliqué de cette maxi violation, où les informations détournées incluraient les noms d’utilisateur, les noms complets, les adresses e-mail, les numéros de téléphone, le sexe, les liens vers d’autres profils Linkedin et ceux d’autres médias sociaux, ainsi que les titres professionnels et autres informations relatives à leurs activités que les utilisateurs chargent généralement sur leur profil sur Linkedin. En revanche, les données relatives aux cartes de crédit ou d’autres informations relatives à d’autres instruments de paiement n’auraient pas été détournées.
Selon le site de cyber-sécurité Cyber News, dans le forum de piratage il est possible de télécharger pour seulement deux dollars les échantillons de base de données mis à disposition pour en vérifier le contenu et sa qualité, Alors que pour obtenir la base de données complète d’un demi-milliard d’utilisateurs, il semble que les chiffres demandés par l’auteur du grand vol sont beaucoup plus élevés et avec plusieurs zéros, vraisemblablement en bitcoins pour garder l’anonymat.
Ce qui n’est pas encore clair, c’est de savoir si les archives de Linkedin qui ont été mises aux enchères en ligne sont à jour ou s’il s’agit de données relatives à des violations antérieures subies dans le passé par les réseaux sociaux professionnels connus.
Le fait est que Linkedin n’a pas encore répondu aux demandes d’éclaircissements des experts de Cyber News, Il n’apparaît pas non plus que les utilisateurs italiens aient encore reçu un signalement de la date Breach tel que prévu par l’article 34 du RGPD lorsqu’il existe un risque élevé pour les droits et les libertés des personnes physiques.
Quoi qu’il en soit, je recommande que les utilisateurs de Linkedin n’hésitent pas à changer leur mot de passe de leur profil et que s’ils y ont entré leur numéro de téléphone, accordent une attention particulière à d’éventuelles anomalies sur leurs téléphones pour se défendre contre les attaques possibles de « SIM swapping » qui pourraient provenir de malveillants, et la même chose s’applique aux e-mails de spear phishing, Ils pourraient venir d’un expéditeur déguisé en Linkedin, peut-être même avec une fausse communication de sécurité en relation avec la date B-Reach.
D’autres menaces dangereuses concernant notamment la vie privée des utilisateurs professionnels résultant d’une utilisation abusive des données contenues dans les archives volées, peuvent résulter de vols d’identité, techniques d’ingénierie sociale, et la BEC de plus en plus répandue (Business Email Compromise), c’est-à-dire l’escroquerie dans laquelle le criminel envoie un e-mail à une secrétaire ou à un responsable administratif d’une société en se faisant passer pour le PDG ou un responsable de haut rang qui demande d’effectuer un virement urgent à un fournisseur, en indiquant toutefois un numéro d’identification géographique sur lequel transférer les fonds provenant d’une organisation criminelle, stratagème qui peut s’avérer particulièrement efficace à l’égard de nombreux utilisateurs de Linkedin, qui ont l’habitude d’indiquer tous les détails nécessaires au malfaiteur, comme l’entreprise à laquelle il appartient, le rôle qu’il a joué, ses contacts professionnels, et aussi quels sont ses collègues.
Dans l’attente de voir les développements de l’affaire et que l’Autorité pour la protection des données personnelles fasse la lumière sur ce qui s’est passé, il est donc recommandé d’alerter tous les utilisateurs de Linkedin, en prêtant beaucoup de prudence sur les messages et les e-mails qu’ils reçoivent, même s’ils semblent provenir d’expéditeurs fiables, voire d’un responsable.
SOURCE: FEDERPRIVACY