Les données FB, LinkedIn et Insta d’un million de Français exposées par une startup chinoise

Socialarks, une société chinoise de gestion de Big Data, a subi une énorme fuite de données, ce qui a entraîné l’exposition de plus de 400 Go de données personnelles, dont celles d’un million de Français. ElasticSearch, la base de données non sécurisée de la société contenait des informations personnelles identifiables (PII) d’au moins 214 millions d’utilisateurs de médias sociaux du monde entier, utilisant à la fois des plateformes grand public et populaires comme Facebook et Instagram, ainsi que des réseaux professionnels tels que LinkedIn.

Une fuite découverte par Safety Detectives

Dans le cadre d’une mission de cybersécurité consistant à découvrir des vulnérabilités en ligne susceptibles de présenter des risques pour le grand public, Safety Detectives a découvert que le serveur ElasticSearch était exposé publiquement sans protection par mot de passe ni chiffrement. Toute personne en possession de l’adresse IP du serveur aurait alors pu accéder à une base de données contenant des millions d’informations privées.

Selon Anurag Sen, le chef de l’équipe de cybersécurité de Safety Detectives a déclaré que la base de données concernée contenait un « énorme trésor » d’informations personnelles sensibles à hauteur de 408 Go et plus de 318 millions d’enregistrements au total. Compte tenu de l’ampleur de la fuite de données, il a été très difficile de connaître exactement l’étendue des dommages potentiels causés.

Des données récupérées sur des plateformes de médias sociaux

C’est à la fois contraire à l’éthique et une violation des conditions d’utilisation de Facebook, Instagram et LinkedIn. À partir des données divulguées, Safety Detectives a découvert qu’il a été possible de déterminer les noms complets des personnes, leur pays de résidence, leur lieu de travail, leur poste, leurs données d’abonné et leurs coordonnées, ainsi que des liens directs vers leurs profils.

Le fait qu’une base de données aussi volumineuse, active et riche en données soit restée complètement non sécurisée est étonnant. Cela l’est d’autant plus quand on sait que Socialarks a subi une violation de données similaire en août 2020, entraînant la divulgation des données de 150 millions d’utilisateurs de LinkedIn, Facebook et Instagram. On ne sait toujours pas comment l’entreprise a réussi à obtenir des données privées à partir de plusieurs sources sécurisées.