LinkedIn explique sur son blog qu'en 2012, un piratage informatique majeur avait poussé le site à réagir en conseillant à 6,5 millions d'utilisateurs de changer leur mot passe.
Cependant, toujours sur son blog, le réseau social a reconnu que c'étaient les combinaisons d'e-mails et de mots de passe de plus de 100 millions de membres qui avaient été dérobées à l'occasion du piratage de 2012.
Selon le site Motherboard, un pirate connu sous le nom Peace a mis en vente une base de données de 117 millions de comptes LinkedIn décryptés, avec e-mails et mots de passe. Initialement, le hacker cherchait à pirater 167 millions d'identifiants. Sur le DarkWeb, Peace propose les informations d'utilisateurs pour 5 bitcoins, soit environ 2000 euros.
Cette fuite de données est d'autant plus critique que les mots de passe volés étaient "hachés" selon l'algorithme cryptographique SHA1, mais sans utilisation de "sel", un procédé aléatoire qui renforce le chiffrement. L'une des sources du site a indiqué les données pouvaient donc être facilement craquées.
Un administrateur du site Leakedsource.com, qui permet aux utilisateurs de vérifier si leurs données personnelles ont fuité sur le web, a dit que les pirates informatiques ont réussi à casser 90% des mots de passe en seulement trois jours.
A cet égard LinkedIn conseille aux membres qui étaient déjà inscrits en 2012 de modifier leurs identifiants et d'installer la vérification en deux étapes le plus vite possible, même s'ils n'ont pas reçu d'e-mail de la part du réseau social.
