L’année est presque terminée, mais il est encore temps pour Facebook d’avoir un problème de sécurité de plus. La nouvelle affaire concerne une base de données qui a exposé les informations de 267 millions d’utilisateurs de réseaux sociaux dans un forum Internet.
La situation a été découverte par le chercheur en sécurité Bob Diachenko et Comparitech. Selon eux, les informations affichées comprennent les numéros d’identification des utilisateurs de Facebook, ainsi que les noms et numéros de téléphone figurant sur leurs comptes.
Comparitech indique que le numéro d’identification peut être suffisant pour que les cybercriminels puissent recueillir d’autres informations publiques dans les profils. À partir de ces données, le spam et le phishing peuvent être réalisés plus efficacement.
La base de données est devenue inaccessible le jeudi (19), mais elle est ouverte à tous depuis le 4 décembre. Un fichier contenant les enregistrements a été partagé le 12 dans un forum et trouvé le 14 par Diachenko, qui a signalé la situation à Facebook.
Le chercheur affirme que la page créée pour accéder à la base de données affichait des mots en vietnamien, suggérant l’origine de la personne qui a recueilli les enregistrements. La méthode pour obtenir les dossiers n’est pas encore tout à fait claire, mais selon Diachenko, il y a deux alternatives possibles.
L’une d’entre elles concerne l’API Facebook qui, jusqu’en 2018, permettait d’obtenir des photos, des groupes et des listes d’amis à partir du numéro de téléphone de l’utilisateur. La société a décidé de restreindre cet outil en réponse au scandale de Cambridge Analytica.
Les cybercriminels peuvent également avoir utilisé certains moyens pour effacer des données des profils publics. Pour ce faire, ils auraient utilisé des robots capables de copier les données d’un grand nombre de pages.
“Nous nous penchons sur ce problème, mais nous pensons que ces informations ont probablement été obtenues avant les changements que nous avons apportés ces dernières années pour mieux protéger les informations des gens”, a déclaré Facebook à Engadget.
Facebook a dû faire face à plusieurs failles de sécurité en 2019. En mars, les chercheurs ont révélé que la société conservait 600 millions de mots de passe non cryptés, y compris ceux des utilisateurs d’Instagram. Pour aggraver les choses, 20 000 employés ont été autorisés à y accéder.
En avril, la société de sécurité numérique UpGuard a indiqué que deux bases de données Facebook contenant 540 millions d’enregistrements pouvaient être consultées par n’importe qui. En septembre, TechCrunch a découvert l’existence d’un serveur sans mot de passe qui stockait environ 419 millions d’enregistrements avec des numéros de téléphone et des codes d’identification d’utilisateurs. À quoi s’attendre en 2020 ?