LinkedIn : Un plug-in affiche les adresses mails sans exploiter de vulnérabilité
Un plug-in gratuit pour Chrome, Firefox et Safari appelé "Sell Hack" tourne sur internet. Il permet d'afficher les adresses mails masquées des utilisateurs LinkedIn, ce qui signifie que n'importe qui peut récupérer les adresses mails notamment de professionnels.
Une fois installé, le plugin "Sell Hack" affiche un bouton "Hack In" sur les profils LinkedIn et lorsque l'on clic dessus il affiche l'adresse mail de l'utilisateur concerné.
Aucune faille de sécurité exploitée
Ce n'est pas une faille de sécurité, LinkedIn a confirmé que les données n'étaient pas compromises, mais cette extension utilise un algorithme qui vérifie les données disponibles publiquement afin de deviner les adresses de messagerie des utilisateurs. Le plug-in s'appuie OSINT (Open Source Intelligence).
Cependant, c'est aussi possible que le plug-in récupère des informations sur les utilisateurs qui l'ont installé sur leur machine. A ce sujet, LinkedIn prévient : "Les membres de LinkedIn qui ont téléchargé "Sell Hack" doivent le désinstaller immédiatement et contacter Sell Hack afin de demander que leurs données soient supprimées".
Légal ou pas ?
Le développeur de Sell Hack s'est directement exprimé à ce sujet : "Le processus que utilisons accède à des données publiques. Ce plug-in vous permet de gagner du temps grâce au traitement informatique mit en place. Nous ne faisons rien malicieux à l'encontre de ce réseau social. Nous pensons que les extensions intégrées aux navigateurs sont la meilleure façon de personnaliser l'expérience web des utilisateurs".
LinkedIn accuse Sell Hack de violer les termes d'utilisation du service, ce qui a obligé le développeur à stopper le fonctionnement du plug-in : "Le plug-in Sell Hack ne fonctionnera pas plus longtemps sur les pages LinkedIn".
