214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Safety Detective, dont la mission est d’identifier les failles de sécurité de serveur, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. L’entreprise, spécialisée dans la gestion des réseaux sociaux et le développement de marque sur le territoire chinois, conservait les données de plusieurs millions d’utilisateurs, plus de 400 Go, sur un serveur non-sécurisé détenu par Tencent. Dans sa publication, l’équipe de Safety Detective explique “que le serveur ElasticSearch était exposé publiquement sans protection par mot de passe ou chiffrement”. Concrètement, le manque de sécurité permettait à tout un chacun d’accéder aux informations des utilisateurs concernés. Selon Safety Detective, celles-ci ont été récupérées grâce au “Datascrapping”. Il s’agit de l’aspiration de données personnelles accessibles sur les réseaux sociaux. Si la pratique est légale, et déjà utilisée par de nombreuses entreprises, c’est le manque de dispositif de sécurité nécessaire à la protection des données récoltées qui pose problème. Ce n’est d’ailleurs pas la première fois que Socialarks est concernées par une telle fuite de données, puisqu’elle avait déjà divulgué les informations de 150 millions de comptes en août dernier.
Des données sensibles
Parmi les données récoltées par la firme, on retrouve essentiellement des informations communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les pseudos sur les différentes plateformes, les photos de profils et la description des comptes sont renseignés sur le fichier. En revanche, Safety Detective a aussi remarqué que plusieurs informations plus sensibles étaient aussi présentes sur le serveur. En effet, pour Instagram par exemple, 6 millions d’adresses mail d’utilisateurs ont été enregistrées alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.
Des risques de fraude
Une telle fuite de donnée est forcément très dangereuse pour les utilisateurs concernés. L’exposition de ces informations les rend vulnérables aux attaques en ligne comme le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations concernant les contacts des utilisateurs peuvent aussi être exploitées pour l’envoi d’e-mails personnalisés. Il faudra donc redoubler de vigilance. En France, plus de 810 000 de comptes sont concernés.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
question – si linkedin est bien rgpd approved… comment expliquer que des comptes francais aient vu une partie de leur données traitées ” hebergées ” par une société chinoise, donc semble t il , hors de l europe..?
c’est expliqué dans l’article, ce sont des données scrapées par l’entreprise chinoise.
Qui plus est, sauf erreur de ma part, la RGPD n’oblige en rien à stocker les données en Europe. C’est une réglementation sur l’obligation d’information et de consentement de l’utilisateur sur l’utilisation de ses données.
le rgpd c est beaucoup plus que celà…si tu as du temps va jeter un oeil sur le site de la CNIL..mais tu as raison sur un point que je n avais pas bien saisi , infos récupérées par scrapping…ca montre quand même la pauvre securisation…Linkedin..Microsoft…et pour finir, a ma connaissance les données d un individu europeen sont censées etre traitées en europe ou dans un pays qu on qualifierait ” de confiance ” …il y a des regles…( mais ce n est pas ce cas ici).