C'est la firme de sécurité UpGuard qui a découvert que des données de deux acteurs externes étaient conservées sans la moindre protection dans un compartiment S3 d'Amazon. Il est question de plus de 540 millions de données, soit quelque 146 giga-octets, de l'entreprise mexicaine de médias Cultura Colectiva. L'ensemble comprend les identifications Facebook (noms d'utilisateur) 'likes', réactions et d'autres données encore.

Dans le second cas, il s'agit de données conservées par At the Pool, une appli qui a été supprimée en 2014. On y trouve pèle mêle des noms d'utilisateur/ID, amis, 'likes', chansons, livres, événements, groupes, check-in, etc. d'utilisateurs. UpGuard a également découvert un dossier de mots de passe, bien qu'il s'agisse très probablement des mots de passe d'At the Pool et pas de Facebook.

UpGuard a chaque fois pris contact avec Cultura Collective depuis janvier à propos de cette fuite, mais aucune action n'a été immédiatement entreprise. Ce n'est qu'après qu'UpGuard ait rendu cette affaire publique que les données ont disparu. Celles qui étaient tombées dans le domaine public via At the Pool, avaient, elles, déjà été supprimées durant l'enquête menée par UpGuard.

Facebook a retiré des données

La disparition des données de Cultural Collective semble découler d'une collaboration entre Facebook et Amazon. Dans une réaction à l'agence Reuters, on déclare chez Facebook avoir mis la base de données hors ligne aussitôt après avoir été informée du problème.

Cultura Collective apporte à Reuters la nuance, selon laquelle il ne s'agissait pas de données sensibles, mais uniquement d'informations qu'elle avait pu collecter via ses trois pages Facebook.

Le fait que des données d'utilisateurs de Facebook aient été exposées sans protection à tout un chacun, ne résulte donc pas d'une erreur directe du réseau social, mais cela montre bien qu'il est relativement aisé pour des développeurs ou des propriétaires de pages de conserver des données d'utilisateurs. Voilà aussi comment le scandale Cambridge Analytica a été rendu possible. Ici encore, une appli extérieure avait pu accéder à un nombre particulièrement élevé de données de profils individuels.