Selon Security Affairs, le chercheur Bob Diachenko et nexos.ai ont découvert le 23 novembre 2025 une base MongoDB de 16 To laissée ouverte, contenant environ 4,3 milliards d’enregistrements de profils « LinkedIn‑like »; la base a été sécurisée deux jours plus tard, sans qu’il soit possible de savoir qui y a accédé auparavant.

Impact et données exposées

  • Type d’incident: base de données MongoDB non sécurisée (exposition publique)
  • Volume: ~4,3 milliards d’enregistrements, 16 To
  • PII exposées (dans au moins trois collections): noms, emails, numéros de téléphone, liens LinkedIn, intitulés de poste, employeurs, parcours professionnel, éducation, localisation, compétences, langues, comptes sociaux; plus des URLs d’images et des Apollo IDs (liés à l’écosystème Apollo.io, sans signe de compromission d’Apollo)

Structure de la base (extraits des 9 collections analysées par Cybernews)

  • intent – 2 054 410 607 docs (604,76 Go)
  • profiles – 1 135 462 992 docs (5,85 To)
  • unique_profiles – 732 412 172 docs (5,63 To)
  • people – 169 061 357 docs (3,95 To)
  • sitemap – 163 765 524 docs (20,22 Go)
  • companies – 17 302 088 docs (72,9 Go)
  • company_sitemap – 17 301 617 docs (3,76 Go)
  • address_cache – 8 126 667 docs (26,78 Go)
  • intent_archive – 2 073 723 docs (620 Mo)

Attribution et contexte

  • Propriété non confirmée. Des indices pointent vers une entreprise de génération de leads (entrées de sitemap « /people » et « /company » reliées à son site). La société revendique l’accès à 700 M de professionnels, proche du volume de « unique_profiles »; la base a été mise hors ligne un jour après notification. Les chercheurs n’attribuent pas formellement et notent que la société elle‑même a pu être scrapée.
  • Temporalité des données: mises à jour en 2025 mais pouvant inclure des données plus anciennes, possiblement issues de scrapes de fuites LinkedIn évoquées en 2021.

Menaces et usages malveillants potentiels ⚠️

  • Phishing ciblé et fraude au président (CEO fraud)
  • Reconnaissance d’entreprise à grande échelle
  • Campagnes automatisées pilotées par l’IA/LLM: génération de messages hautement personnalisés à partir des profils; envoi de dizaines de millions d’emails malveillants
  • Enrichissement de profils et credential stuffing via corrélation avec d’autres fuites

TTPs observés

  • Exposition par mauvaise configuration d’une base MongoDB accessible publiquement, sans contrôle d’accès
  • Scraping/agrégation de données professionnelles à grande échelle
  • Enrichissement de données (ex. Apollo IDs) et structuration en collections massives

Article: article de presse spécialisé visant à informer sur la découverte, le contenu exposé et les risques d’abus à grande échelle liés à cette fuite.

🔗 Source originale : https://securityaffairs.com/185661/data-breach/experts-found-an-unsecured-16tb-database-containing-4-3b-professional-records.html