Le mois dernier, nous avons signalé un grattage de LinkedIn qui a exposé les données de 700 millions d’utilisateurs, soit environ 92% de tous ceux du service. Les données comprenaient l’emplacement, les numéros de téléphone et les salaires présumés.

L’homme derrière cela a maintenant été identifié, et dit qu’il l’a fait « pour le plaisir » – bien qu’il vende également les données…

Arrière-plan

Le grattage de données est un sujet controversé. Dans sa forme la plus simple, cela signifie écrire un logiciel pour visiter une page Web, lire les données affichées, puis les ajouter à une base de données.

Plus généralement, les gens utiliseront des API (interfaces de programmation d’applications) fournies par le service Web à des fins légitimes et l’utiliseront pour récupérer de grandes quantités de données.

C’est controversé parce que, d’une part, ceux qui font le grattage peuvent affirmer qu’ils n’accèdent qu’aux données accessibles au public – ils le font simplement de manière efficace. D’autres soutiennent qu’ils abusent d’outils non prévus à cet effet et qu’il y a plus de données disponibles via les API que ce qui est visible sur les sites Web, ce qui rend difficile pour les utilisateurs de savoir quelles données ont été exposées.

Il y a même une controverse sur la terminologie. De nombreux professionnels de la sécurité soutiennent qu’il ne s’agit pas d’une violation de la sécurité si les données sont accessibles au public. Je dirais que si un service comme LinkedIn ne détecte pas quelqu’un en train de gratter littéralement des centaines de millions d’enregistrements, c’est une grave faille de sécurité.

LinkedIn scraping pour le plaisir – et le profit

BBC News s’est entretenu avec l’homme qui a pris les données, sous le nom de Tom Liner.

Que ressentiriez-vous si toutes vos informations étaient cataloguées par un pirate informatique et mises dans une feuille de calcul monstrueuse avec des millions d’entrées, pour être vendues en ligne au cybercriminel le mieux payé ? C’est ce qu’un pirate informatique se faisant appeler Tom Liner a fait le mois dernier « pour le plaisir » lorsqu’il a compilé une base de données de 700 millions d’utilisateurs LinkedIn du monde entier, qu’il vend pour environ 5 000 $ (3 600 £ ; 4 200 €) […] Dans le cas de M. Liner, son dernier exploit a été annoncé à 08h57 BST dans un article sur un forum de piratage notoire. […] « Bonjour, j’ai 700 millions d’enregistrements LinkedIn 2021 », a-t-il écrit. Le message contenait un lien vers un échantillon d’un million d’enregistrements et une invitation à d’autres pirates informatiques à le contacter en privé et à lui faire des offres pour sa base de données.

Liner dit qu’il était également à l’origine du grattage de 533 millions de profils Facebook en avril (vous pouvez vérifier si vos données ont été récupérées).

Tom m’a dit qu’il avait créé la base de données LinkedIn de 700 millions en utilisant “presque exactement la même technique” qu’il avait utilisée pour créer la liste Facebook. Il a déclaré: «Ça m’a pris plusieurs mois à faire. C’était très complexe. J’ai dû hacker l’API de LinkedIn. Si vous faites trop de demandes de données utilisateur en une seule fois, le système vous bannira définitivement.

LinkedIn nie que Liner ait utilisé son API, mais la société de cybersécurité SIS Intelligence affirme que nous avons besoin de plus de contrôles sur leur utilisation.

Le PDG Amir Hadžipašić a déclaré que les détails de cet événement et d’autres événements de masse ne sont pas ce que la plupart des gens s’attendraient à ce qu’ils soient disponibles dans le domaine public. Il pense que les programmes API, qui donnent plus d’informations sur les utilisateurs que le grand public ne peut en voir, devraient être plus étroitement contrôlés. «Des fuites à grande échelle comme celle-ci sont préoccupantes, étant donné le détail complexe, dans certains cas, de ces informations, telles que les emplacements géographiques ou les adresses mobiles et e-mail privées. « Pour la plupart des gens, il sera surprenant qu’il y ait autant d’informations détenues par ces services d’enrichissement d’API.

L’expert en sécurité et propriétaire de haveibeenpwned.com, Troy Hunt, déclare qu’il ne considère pas l’utilisation abusive des API comme une violation de la sécurité, mais qu’il convient surtout de la nécessité d’un contrôle accru.

« Je ne suis pas en désaccord avec la position de Facebook et d’autres, mais je pense que la réponse « ce n’est pas un problème » est, bien que peut-être techniquement précise, manquant le sentiment de la valeur de ces données d’utilisateur et leur minimisation peut-être de leur propres rôles dans la création de ces bases de données.

Photo : Benjamin Lehman/Unsplash

