L’un des risques liés à l’utilisation des réseaux sociaux est que les informations que vous avez l’intention de partager avec seulement quelques amis soient mises à la disposition de tous. Parfois, ce partage excessif se produit parce que des amis trahissent votre confiance, mais plus inquiétants sont les cas dans lesquels une plate-forme de médias sociaux elle-même expose vos données au nom du marketing.
LinkedIn a construit une grande partie de sa valeur considérable sur la maxime séculaire selon laquelle « tout dépend de qui vous connaissez ». En tant qu’utilisateur de LinkedIn, vous pouvez vous connecter directement avec ceux que vous attestez connaître professionnellement ou personnellement, mais vous pouvez également demander à être présenté à quelqu’un que vous aimeriez rencontrer en envoyant une demande via quelqu’un qui relie vos réseaux sociaux séparés. Les célébrités, les cadres ou tout autre utilisateur de LinkedIn qui souhaitent éviter les demandes de contact non sollicitées peuvent le faire en sélectionnant une option qui oblige le demandeur à fournir l’adresse e-mail personnelle du destinataire prévu.
L’ensemble du tissu social de LinkedIn commence à se désagréger si un utilisateur peut se connecter directement à n’importe quel autre utilisateur, indépendamment du fait que leurs cercles sociaux ou professionnels se chevauchent ou non. Malheureusement pour LinkedIn (et ses utilisateurs qui souhaitent que leurs adresses e-mail restent confidentielles), c’est le risque exact introduit par les efforts intégrés de l’entreprise pour élargir la base d’utilisateurs du réseau social.
Selon des chercheurs de la société basée à Seattle, Washington Laboratoires de sécurité de Rhino, au cœur du problème se trouve le penchant de LinkedIn pour s’assurer que vous êtes aussi connecté que possible. Lorsque vous créez un nouveau compte, par exemple, le service vous demande si vous souhaitez consulter vos listes de contacts sur d’autres services en ligne (tels que Gmail, Yahoo, Hotmail, etc.). Le service fait cela pour que vous puissiez vous connecter avec tous les contacts de messagerie qui sont déjà sur LinkedIn, et pour que LinkedIn puisse envoyer des invitations à vos contacts qui ne sont pas déjà des utilisateurs.
LinkedIn suppose que si une adresse e-mail figure dans votre liste de contacts, vous devez déjà connaître cette personne. Mais que se passe-t-il si votre seule raison de vous inscrire sur LinkedIn est de découvrir les adresses e-mail privées de personnes célèbres ? Tout ce que vous avez à faire est de remplir la liste de contacts de votre compte de messagerie avec des centaines de permutations de noms de personnes célèbres – y compris des combinaisons de noms de famille, de prénoms et d’initiales – devant @gmail.com, @yahoo.com, @hotmail .com, etc. Avec un peu de chance et un peu d’imagination, vous pourriez bien être en route vers une liste d’amis LinkedIn A-list (ou un fantastique ensemble d’adresses pour harponner, harceler, etc.).
LinkedIn vous permet de savoir lesquels de vos contacts ne sont pas membres.
Lorsque vous importez votre liste de contacts à partir d’un service tiers ou d’un fichier autonome, LinkedIn vous montrera tous les profils qui correspondent aux adresses de votre liste de contacts. Plus important encore, LinkedIn vous indique utilement quelles adresses e-mail dans vos listes de contacts ne sont pas utilisateurs LinkedIn.
C’est cette dernière étape qui est essentielle pour trouver l’adresse e-mail de l’utilisateur ciblé à qui LinkedIn vient d’envoyer une demande de connexion en votre nom. Le service ne vous indique pas explicitement l’adresse e-mail de cette personne, mais en comparant la liste de contacts de votre compte de messagerie à la liste des adresses qui, selon LinkedIn, n’appartiennent à aucun utilisateur, vous pouvez rapidement déterminer quelle(s) adresse(s) sur les contacts. correspond au(x) utilisateur(s) que vous essayez de trouver.
Les fondateurs de Rhino Security Benjamin Caudille et Bryan Seely ont récemment révélé comment les relations de confiance entre et parmi les services en ligne peuvent être abusées pour exposer ou détourner des informations potentiellement sensibles. Le mois dernier, les deux chercheurs détaillé comment ils ont pu désanonymiser les messages pour Secret, un service en ligne piloté par une application qui permet aux utilisateurs de partager des messages de manière anonyme au sein de leur cercle d’amis, d’amis d’amis et publiquement. En février, Seely a démontré de manière plus célèbre comment utiliser Google Maps pour intercepter les appels téléphoniques du FBI et des services secrets.
Cette fois-ci, les chercheurs ont choisi Mark Cuban, propriétaire des Dallas Mavericks pour prouver leur point de vue avec LinkedIn. Grâce à leur hack low-tech, le duo a pu localiser l’adresse Webmail que Cuban avait utilisée pour s’inscrire à LinkedIn. Seely a déclaré avoir réussi à localiser les adresses e-mail d’autres célébrités en utilisant la même méthode environ neuf fois sur dix.
« Nous avons créé plusieurs centaines d’adresses possibles pour Cuba en quelques secondes, en utilisant une macro Microsoft Excel », a déclaré Seely. « C’est juste un jeu de devinettes par force brute, mais 90 % des gens vont utiliser une adresse e-mail qui inclut des composants de leur vrai nom. »
Les gars de Rhino voulaient vraiment l’aide de Cuban pour faire connaître ce qu’ils avaient trouvé, mais au lieu d’envoyer un message direct à Cuban, Seely a adopté une approche plus subtile : il savait que la dernière start-up de Cuban était Cyber Poussière, une application de messagerie instantanée conçue pour garder vos messages privés. Alors, Seely a tiré un tweet se plaignant que « Facebook Messenger franchit toutes les lignes de confidentialité » et que, par conséquent, il a été commutation à Cyber Dust.
Lorsque Mark Cuban a retweeté l’approbation de Cyber Dust par Seely, Seely a contacté Ryan Ozonian, PDG de Cyberdust, lui faisant savoir qu’il avait découvert l’adresse e-mail de Cuban sur LinkedIn. En peu de temps, Cuban a demandé à Rhino de tester la sécurité de Cyber Dust.
« Heureusement, aucun défaut majeur n’a été trouvé et ceux qu’il a trouvés sont déjà corrigés dans la prochaine mise à jour », a déclaré Cuban dans un échange de courrier électronique avec BreachTrace. « J’aime travailler avec eux. Ils cherchent à aider plutôt qu’à exploiter. Nous avons appris d’eux et je pense que leur expérience sera également précieuse pour d’autres éditeurs d’applications et réseaux.
Cory Scott, directeur de la sécurité de l’information chez LinkedIn, a déclaré que très peu de membres de l’entreprise acceptent l’exigence que tous les nouveaux contacts potentiels fournissent l’adresse e-mail de l’invité avant d’envoyer une invitation à se connecter. Il a ajouté que le mappage adresse e-mail-utilisateur est un modèle de conception assez courant, et qu’il n’est pas particulièrement propre à LinkedIn, et que rien de ce que fait l’entreprise n’empêchera les gens de diffuser des e-mails vers des listes d’adresses pouvant appartenir à un utilisateur ciblé. , en espérant que l’un d’eux touchera la maison.
« Les permutateurs d’adresses e-mail, dont il y en a beaucoup sur le ‘Net, existent depuis bien plus longtemps que LinkedIn, et vous pouvez leur envoyer un e-mail à tous, sachant que l’un d’entre eux atteindra très probablement votre cible », a déclaré Scott. . « C’est en quelque sorte l’un de ces défis auxquels sont confrontées toutes les entreprises de médias sociaux pour tenter d’empêcher l’abus de [site] Fonctionnalité. Nous avons des mécanismes de limitation de débit, de notation et de détection d’abus pour empêcher les utilisateurs abusifs fréquents de ce service et pour nous assurer que les gens ne peuvent pas valider les listes de spam.
Dans un e-mail envoyé à ce journaliste la semaine dernière, LinkedIn a déclaré qu’il prévoyait au moins deux changements dans la façon dont son service gère les adresses e-mail des utilisateurs.
« Nous sommes en train de mettre en œuvre deux changements à court terme et un changement à plus long terme pour donner à nos membres plus de contrôle sur cette fonctionnalité », a déclaré la porte-parole de Linkedin. Nicole Leverich a écrit dans une déclaration envoyée par courrier électronique. « Dans les prochaines semaines, nous introduisons de nouveaux modèles logiques conçus pour empêcher les pirates d’abuser de cette fonctionnalité. De plus, nous permettons aux membres de nous demander de ne pas être détectables via cette fonctionnalité. À plus long terme, nous envisageons de créer une boîte de désinscription que les membres peuvent choisir de sélectionner pour ne pas être détectables à l’aide de cette fonctionnalité.