.png)
Si cela fait longtemps que vous n’avez pas modifié votre mot de passe LinkedIn, c’est peut-être le bon moment.
En 2012, LinkedIn a été victime d’une violation massive de données, entraînant le téléchargement des informations de connexion, y compris les mots de passe, de plus de 6,5 millions de leurs utilisateurs sur un forum de hackers russe. Les données étaient cryptées, mais elles étaient répertoriées d’une manière que les pirates n’avaient manifestement pas de mal à les contourner – quelques heures après la publication des informations, plus de 300 000 noms d’utilisateur et mots de passe avaient été décryptés et étaient partagés entre les communautés de pirates. .
LinkedIn a reconnu les rapports via Twitter :
Notre équipe étudie actuellement les rapports de vol de mots de passe. Restez à l’écoute pour plus.
– LinkedIn (@LinkedIn) 6 juin 2012
À l’époque, le niveau de menace était jugé relativement faible – selon TechCrunch :
« … les chances sont minces que vous, vous-même soyez personnellement affecté – 6,5 millions de personnes représentent moins de 5% de la base d’utilisateurs de LinkedIn. »
Donc, beaucoup de gens l’ont ignoré et sont passés à autre chose et rien ne s’est passé.
Mais aujourd’hui, nous avons découvert que la violation de données était en réalité bien pire que prévu.
LinkedIn a annoncé ce matin, via son blog officiel, qu’il n’y avait pas 6,5 millions de comptes concernés – c’était plutôt 100 millions, et tous ont maintenant été publiés sur des forums de hackers.
Depuis LinkedIn :
« Hier, nous avons pris connaissance d’un ensemble supplémentaire de données qui venaient d’être publiées et qui prétendent être des combinaisons d’e-mails et de mots de passe hachés de plus de 100 millions de membres LinkedIn du même vol en 2012. Nous prenons des mesures immédiates pour invalider les mots de passe du comptes concernés, et nous contacterons ces membres pour réinitialiser leurs mots de passe. Nous n’avons aucune indication que cela soit le résultat d’une nouvelle faille de sécurité. »
Selon Motherboard, ce sont en fait 167 millions de comptes qui sont inclus dans l’ensemble de données, et parmi ceux-ci, environ 117 millions incluent à la fois des e-mails et des mots de passe. Et étant donné que cela date de 2012, lorsque LinkedIn ne comptait que 187 millions de membres au total, cela signifie que la majorité des personnes qui étaient actives sur la plate-forme à ce moment-là y sont.
Motherboard dit que les données sont vendues par un pirate informatique nommé « Peace » sur le marché du dark web The Real Deal pour 5 bitcoins (environ 2 200 $).
Motherboard a également contacté un chercheur en sécurité qui a contacté certaines des victimes de la violation de données et ils ont confirmé que les combinaisons e-mail/mot de passe répertoriées pour leurs comptes étaient correctes – l’un d’eux a noté qu’il s’agissait de leur mot de passe (qu’ils ont rapidement mis à jour).
Qu’est-ce que cela signifie? Si vous n’avez pas changé votre mot de passe LinkedIn depuis un certain temps, même si vous n’êtes pas sûr d’avoir été actif en 2012 ou non, c’est probablement le bon moment pour le revoir.
LinkedIn conseille que :
« Nous encourageons nos membres à visiter notre centre de sécurité pour en savoir plus sur l’activation de la vérification en deux étapes, et d’utiliser des mots de passe forts afin de garder leurs comptes aussi sûrs que possible. »
Il sert également de bon rappel de l’importance de garder vos mots de passe à jour et de revoir vos pratiques de sécurité de temps en temps. Si vous réutilisez vos mots de passe sur plusieurs plates-formes, par exemple, des violations de données comme celle-ci peuvent entraîner un problème beaucoup plus grave. Cela vaut la peine d’examiner vos options et de vous assurer de ne pas vous laisser prendre, surtout compte tenu de la quantité croissante d’efforts et de travail que les gens consacrent à établir et à développer leur présence sur les réseaux sociaux.
Et comme indiqué ci-dessus, LinkedIn s’efforce de valider les comptes et de contacter les utilisateurs concernés afin qu’ils puissent réinitialiser leurs mots de passe sur le site.
Une mise à jour sur la protection de nos membres : https://t.co/4a6EJW1JKJ
– LinkedIn (@LinkedIn) 18 mai 2016
METTRE À JOUR: Peu de temps après son premier article de blog sur les rapports de données d’utilisateurs vendues par des pirates, LinkedIn a ajouté ce qui suit :
« Nous agissons rapidement pour gérer la publication de données supplémentaires suite à une violation de 2012, en particulier :
Nous avons commencé à invalider les mots de passe pour tous les comptes créés avant la violation de 2012 qui n’ont pas mis à jour leur mot de passe depuis cette violation. Nous informerons les membres individuels s’ils ont besoin de réinitialiser leur mot de passe. Cependant, changer régulièrement votre mot de passe est toujours une bonne idée et vous n’avez pas à attendre la notification. N’hésitez pas à réinitialiser votre mot de passe en suivant les instructions ici.
Nous avons exigé que les parties cessent de rendre disponibles les données de mot de passe volées et évaluerons les éventuelles poursuites judiciaires en cas de non-respect. En attendant, nous utilisons des outils automatisés pour tenter d’identifier et de bloquer toute activité suspecte qui pourrait se produire sur les comptes concernés. »
MISE À JOUR (23 mai): LinkedIn a signalé qu’il a invalidé tous les mots de passe des comptes qui n’avaient pas reposé leur mot de passe depuis la violation de 2012. LinkedIn enverra prochainement de plus amples informations à tous les comptes concernés. Pour plus d’informations, vous pouvez contacter LinkedIn.
