200 millions de profils Facebook, Instagram et LinkedIn exposés via une base de données

La société chinoise de gestion des réseaux sociaux Socialarks a divulgué les informations personnellement identifiables (PII) de plus de 200 millions d'utilisateurs de Facebook, Instagram et LinkedIn, selon des chercheurs de SafetyDetectives.

Les données divulguées via un ElasticSearch non sécurisé abritaient 408 Go de données personnelles d'utilisateurs normaux, d'influenceurs des réseaux sociaux et même de célébrités.

Les enquêteurs ont découvert que les données divulguées semblaient avoir été extraites de plateformes de réseaux sociaux populaires, en violation des conditions de service de ces géants du web.

La base de données fuité comprenait les informations suivantes :

• 81 551 567 comptes Facebook
• 66 117 839 comptes LinkedIn
• 11 651 162 comptes Instagram

Arrêtez d'imaginer ce qu'Internet sait de vous. Découvrez-le avec notre outil Bitdefender Digital Identity Protection !

Les chercheurs ont également noté que 55,3 millions de profils d'utilisateurs Facebook supplémentaires ont été supprimés quelques heures après leur découverte.

"A partir des données divulguées que nous avons découvertes, il a été possible de déterminer les noms complets, le pays de résidence, le lieu de travail, le poste, les données d'abonné et les coordonnées des personnes, ainsi que des liens directs vers leurs profils", a expliqué SafetyDetectives.

Les informations exposées pour chaque réseau social varient, mais elles brossent un tableau complet du profil de l'utilisateur qui pourrait permettre aux cybercriminels de choisir leurs cibles les plus rentables.

Les fuites de comptes d'utilisateurs Instagram ont révélé des noms complets, plus de 6 millions de numéros de téléphone, 11 millions d'adresses e-mail, des liens de profil, des photos, des descriptions, le nombre d'abonnés, le pays de résidence et les hashtags les plus fréquemment utilisés.

Les données sur le compte Facebook affichent des informations similaires, ainsi que le nombre de likes, de suivis et d'évaluations, l'identifiant Messenger et la description du profil.

Dans le cas des profils LinkedIn, les enregistrements exposaient le profil de poste de l'utilisateur, le titre du poste et le niveau d'ancienneté, le nom de l'entreprise et la marge de revenus ainsi que le nom complet et l'adresse e-mail des utilisateurs.

Bien que certaines informations personnelles récupérées n'exposent pas pleinement tous les utilisateurs, les enquêteurs ont remarqué que la base de données contenait les numéros de téléphone et les adresses e-mail d'utilisateurs qui avaient pourtant choisi de ne pas rendre ces informations publiques sur leurs profils en ligne.

La base de données "Socialarks" stocke des données personnelles pour les utilisateurs d'Instagram et de LinkedIn, telles que des numéros de téléphone privés et des adresses e-mail pour les utilisateurs qui n'ont pas divulgué ces informations publiquement sur leurs comptes", indique le rapport. "Comment Socialarks pouvait avoir accès à ces données en premier lieu reste inconnu."

La société basée en Chine a subi une violation de données similaire en août 2020, qui a révélé des informations sur 150 millions d'utilisateurs de LinkedIn, Facebook et Instagram. Les enquêteurs ont déclaré que le serveur non sécurisé avait été découvert le 12 décembre 2020. Deux jours après avoir confirmé l'origine de la base de données, l'équipe de cybersécurité a contacté Socialarks pour divulguer la violation.

"La société n'a pas répondu à notre correspondance mais le serveur a été sécurisé le même jour", a ajouté SafetyDetectives.

La fuite et le grattage des données des utilisateurs posent un risque sérieux pour la sécurité des utilisateurs exposés.

L'information pourrait être « armée pour atteindre un objectif spécifique d'extraction d'informations personnelles à des fins criminelles », prévient le rapport. "Les ramifications potentielles de l'exposition d'informations personnelles incluent le vol d'identité et la fraude financière menées sur d'autres plates-formes, y compris les services bancaires en ligne."