Le chercheur en sécurité Bob Diachenko a découvert une base de données contenant pas moins de 267 millions de noms, Facebook ID et numéros de téléphone. Facebook l’attribue à sa piètre politique de confidentialité du passé.
La base de données contient exactement 267.140.436 informations avec à chaque fois le Facebook ID unique, le numéro de téléphone associé à ce compte, le nom de l’utilisateur et une date. Elle s’est retrouvée en ligne il y a un peu moins de deux semaines, mais a été entre-temps retirée avec l’aide de Diachenko, qui a collaboré dans ce but avec l’entreprise de sécurité Comparitech.
La base de données n’a pas été directement découverte chez Facebook. Il s’agissait en fait d’une base de données pour laquelle on avait besoin d’un nom d’utilisateur et d’un mot de passe, et qui est apparue par inadvertance en ligne. Selon la firme de sécurité, cela s’est passé le 4 décembre. Le 12 décembre, quelqu’un l’a proposée en téléchargement sur un forum de hackers, avant d’être découverte par Diachenko le 14 décembre. Elle a été mise hors ligne le 19 décembre.
Le fait que ces données se soient retrouvées sur le forum, signifie que des inconnus s’en sont très certainement emparés. Elles sont donc susceptibles d’être abusées à des fins de pourriel (spam) et d’hameçonnage (phishing). Il est en effet facile alors d’appeler quelqu’un et d’associer ce numéro aux informations figurant sur Facebook.
A l’heure actuelle, on ne sait pas encore très bien comment les auteurs ont collecté les données. Une option est qu’elles datent d’avant mi-2018, lorsque Facebook permettait via ses API pour développeurs de collecter très aisément ce genre de données. Une pratique que l’entreprise interrompit après le scandale Cambridge Analytica. L’autre option est que cela s’est passé après suite à une fuite sécuritaire. Il en résulte donc que la collecte des données s’est faite soit en raison de l’ancienne politique de confidentialité de Facebook, soit en dépit de ses actuelles mesures de sécurité.
Facebook elle-même réagit sur Cnet et déclare enquêter sur cette affaire, mais que la collecte des données remonte probablement à une période précédant la fermeture de l’accès via les API.
Rien que cette année, ce n’est pas la première fois que des centaines de millions de données Facebook se retrouvent à la rue. En avril déjà, on en avait découvert 540 millions et en septembre encore 419 millions.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici