Une entreprise américaine de cybersécurité, SafetyDetectives, a découvert au mois de décembre dernier une brèche dans les systèmes informatiques d’une société chinoise spécialisée dans l’élaboration de stratégies marketing pour les entreprises sur les réseaux sociaux. Résultat : les données personnelles de plus de 200 millions de personnes à travers le monde sont accessibles sans aucune protection, dont celles d’environ un million de Français.
Ce serveur situé à Hong Kong hébergeait un fichier contenant plus de 400 Go d’informations personnelles issues de Facebook, d’Instagram et du réseau social professionnel LinkedIn, accessibles sans mot de passe.
SafetyDetectives a ainsi dénombré 680.733 profils français de LinkedIn, 109.869 profils Facebook complets et 28.468 profils Instagram, dont ceux de personnalités connues.
Parmi les informations accessibles, pas de mots de passe mais par exemple pour les comptes LinkedIn, les documents comprenaient des détails sur le nom, l’adresse mail, le métier (dont le titre et le niveau d’ancienneté), mais aussi le nom de l’entreprise et ses revenus.
Pour les comptes Facebook, la base de données regorge d’éléments comme le nom complet, la description, le mail, le numéro de téléphone, le pays, les comptes et les pages suivis ou aimés, l’identifiant Messenger, la photo de profil et les liens de sites Web.
Enfin, pour les comptes Instagram, on trouve des éléments relatifs au nom, au numéro de téléphone, à la photo et à la description du profil, au nombre de commentaires, au nombre d’abonnés et d’abonnements mais aussi aux hashtags les plus fréquemment utilisés.
Contactée par SafetyDetectives le 12 décembre, l’entreprise chinoise a sécurisé le serveur incriminé deux jours plus tard. Mais probablement trop tard. Les pirates passent en effet continuellement le Web en revue pour découvrir de nouvelles bases de données leur permettant de mener des campagnes de phishing, usurper des identités ou les revendre à des tiers.