12Go compressés (soit l'équivalent de presque 3 DVD), 35 millions de lignes, des centaines de millions d'informations de professionnels inscrits sur le réseau social Linkedin. Parmi les données : adresses électroniques [anciennes et présentes], fonctions, identités, entreprises, Etc.

Le pirate signe du nom du groupe de hacker étatique américain Equation Group. L'Equation Group serait le nom d'un groupe de la NSA, la National Security Agency, spécialisé dans le cyber-espionnage.

Il avait déjà fait parler de lui concernant des fuites (scrap, Etc.) ayant visé : Infragard, Airbus, MetroClub, Transunion, Cepol, l'OTAN, Toumei, Thales Group ou encore Interpol.

Ce hacker malveillant semble jeune, mais décidé à faire parler de lui. Il a diffusé la fuite pour se faire "mousser". La collecte n'est pas un piratage direct de Linkedin, mais un "Scrap".

Le terme "scrap" ou "scraping" en informatique, ou encore "web scraping", fait référence à une technique utilisée pour extraire de grandes quantités d'informations à partir de sites Web.

Web Scraping

Il s'agit d'un processus automatisé où un script ou un programme navigue sur le Web et collecte des données spécifiques à partir de plusieurs pages web.

Ces données sont généralement extraites de sites Web et converties en un format structuré pour une utilisation ultérieure, comme une base de données ou un fichier CSV, XML, JSON, etc. Le scraping est souvent utilisé pour le recueil de données pour des analyses de marché, le suivi des prix, la surveillance de la présence de certaines informations en ligne, ou encore l'aggrégation de contenus provenant de plusieurs sources.

Légalité et Éthique

Le web scraping peut poser des questions légales et éthiques, notamment en matière de droits d'auteur et de respect de la vie privée. Certains sites Web interdisent explicitement le scraping dans leurs conditions d'utilisation. La collecte de données personnelles est soumise à la réglementation sur la protection des données, comme le RGPD en Europe. Dans le cas de ce pirate, les aspects éthique et légalité n'ont même pas effleuré son cerveau.

Les techniques de scraping peuvent aller de l'analyse simple du code HTML d'une page (parsing) à l'utilisation de technologies plus avancées qui simulent la navigation d'un utilisateur réel sur le Web. Il existe de nombreux outils et bibliothèques pour faciliter le scraping, notamment des logiciels spécifiques ou des bibliothèques pour des langages de programmation comme Python (BeautifulSoup, Scrapy, etc.), Node.js, et d'autres.

Se protéger ?

Difficile, mais pas impossible. L'utilisateur doit se rappeler d'une chose : les informations diffusées sont définitivement perdues. Réfléchir aux données fournies est indispensable lors de l'inscription sur un portail web et autres réseaux sociaux. Les sites Web peuvent utiliser diverses mesures pour empêcher le scraping, telles que les CAPTCHAs, la limitation du nombre de requêtes IP ou le changement fréquent de la structure de leurs pages. Lorsqu'elles sont disponibles, il est préférable d'utiliser des API officielles fournies par les sites Web pour collecter des données car elles sont légalement approuvées et moins susceptibles de causer des problèmes de performance sur les sites Web. Seulement, les API sont de magnifiques portes d'entrées [failles, bug, options cachées, Etc.] pour les malveillants !

Alors, êtes vous dans cette liste ? Il y a de forte chance que oui. Depuis 2021, en rajoutant les autres fuites Linkedin, l'accumulation de données faîtes pas ces malveillants ne cesse de croître. Que faire ? Pas grand chose. Les données sont les mains de ce vendeurs de données. L'une des chose à réaliser : changer d'adresse électronique ; et pourquoi ne pas en créer une dédiée uniquement à Linkedin et qui n'exploite pas l'adresse de votre employeur du moment ?

Le service de veille ZATAZ peut vous alerter en cas de ce type de fuite et vous permet d’être plus rapide que les pirates avant qu'ils n'exploitent vos informations à des fins malveillantes contre vous, vos proches, amis, collègues ou au sein d'entreprises [privées ou publiques]. L'ensemble des abonnés au SVZ ont été alertés le 7 novembre 2023.