Scraping de données : LinkedIn n’y échappe pas non plus

Spread the love
  • Yum

Scraping de données : LinkedIn n’y échappe pas non plus

Après Facebook, c’est au tour de LinkedIn : sur un forum dédié à la revente de données volées, un internaute propose un fichier contenant des données appartenant à 500 millions d’utilisateurs LinkedIn. Le prix demandé pour s’offrir le fichier est fixé à 1000 dollars, mais l’internaute propose un échantillon de 2 millions de comptes pour 2 dollars, afin de prouver l’authenticité de ses données. Les données contenues dans ce fichier contiennent les noms et prénoms, adresses email, numéro de téléphone, postes d’entreprise, genre, lien vers le profil linkedin et autres profils de réseaux sociaux. Ces données ne sont pas systématiquement renseignées dans la base et dépendent probablement de ce que l’utilisateur a partagé en ligne par le passé.

Le réseau social a réagi dans un communiqué publié hier. LinkedIn indique être « au courant » de la vente en ligne de ce jeu de données, mais précise qu’il ne provient pas d’une faille de sécurité dans son réseau social : « Nous avons enquêté sur un ensemble présumé de données LinkedIn qui ont été mises en vente et avons déterminé qu’il s’agissait en fait d’une agrégation de données provenant d’un certain nombre de sites Web et d’entreprises. Ce fichier inclut des données de profil de membre visibles publiquement qui semblent avoir été extraites de LinkedIn. »

En d’autres termes, il s’agit, comme pour la fuite de données Facebook du début de semaine, de donner « scrapées », c’est-à-dire récupérées via un outil automatisé. Une partie de ces données provient de LinkedIn, mais le réseau social rappelle que celles-ci étaient visibles publiquement sur son réseau social, et que les auteurs du fichier n’ont pas exploité de faille de sécurité. Le réseau social considère néanmoins ce type d’action comme une violation de ses conditions générales d’utilisation. LinkedIn soutient que ces données ont été agrégées avec des données provenant d’autres sites pour constituer des profils complets. Le réseau social ne précise pas quand cette récupération de données a eu lieu.

publicité

Après tout, qu’est-ce qu’une fuite de données ?

LinkedIn n’a pour l’instant pas souhaité préciser si la faille avait été signalée auprès des autorités de protection de données européennes, ou si le réseau social comptait alerter ses utilisateurs et s’en tient pour l’instant à son communiqué comme seul commentaire sur l’affaire. C’était pourtant l’une des questions qui se posaient avec la fuite de données affectant Facebook : le réseau social estimait ne pas avoir à se soumettre aux obligations prévues par le RGPD en cas de fuite de données. LinkedIn pourrait donc s’aligner sur une position similaire, en s’appuyant sur le fait que les données étaient publiquement accessibles et qu’il ne s’agit pas ici d’une fuite de données.

Pour l’instant, seule l’autorité de protection des données italienne a publié un communiqué sur son site indiquant qu’une enquête avait été ouverte suite à la découverte de ce fichier. L’autorité italienne indique que les utilisateurs affectés par cette fuite de données pourraient être exposés à des tentatives d’escroquerie par téléphone, ou des attaques de type SIM swapping visant à faire réattribuer la carte SIM d’un abonné à l’attaquant. La CNIL n’a pour l’instant pas communiqué sur d’éventuelles plaintes ou enquêtes liées à ce fichier de données, pas plus que l’autorité irlandaise de protection des données, dont dépend LinkedIn.

Leave a Reply

%d bloggers like this: