Un vieux «piratage» de Facebook qui a touché plus de 533 millions de personnes a refait surface au cours du week-end, car des rapports ont révélé que la base de données entière était publiée sur un forum. Facebook a rapidement souligné que la violation de données était ancienne et que la vulnérabilité de sécurité avait été corrigée, de sorte que des accidents similaires ne peuvent pas se produire. Mais cela n’a pas fait grand-chose pour remédier au fait que les personnes ayant accès à la base de données peuvent obtenir de nombreuses informations personnelles sur un utilisateur, y compris des numéros de téléphone. Quelques jours plus tard, un chercheur en sécurité a permis à des victimes potentielles de rechercher dans la base de données et de savoir si leurs données étaient compromises. Un autre chercheur a montré à quel point il serait facile pour un individu malveillant d’exploiter ces données en révélant que le compte Facebook de Mark Zuckerberg était inclus dans le piratage, qui comprenait son numéro de téléphone, et en découvrant que le PDG de Facebook est un utilisateur de Signal.

Malgré cela, Facebook ne prévoit pas de notifier les utilisateurs concernés. La société insiste également pour expliquer ce qui s’est passé il y a près de deux ans que les pirates n’ont pas violé les défenses de Facebook. Au lieu de cela, ils ont utilisé une technologie développée par Facebook contre lui-même pour collecter toutes ces données lors d’une attaque de «grattage».

Facebook n’a jamais notifié les utilisateurs concernés, et il ne prévoit pas de changer cela maintenant que la base de données a atteint plus de personnes. Un porte-parole a confirmé cela à .:

Le porte-parole de Facebook a déclaré que la société de médias sociaux n’était pas convaincue d’avoir une visibilité complète sur les utilisateurs qui devraient être informés. Il a déclaré que cela tenait également compte du fait que les utilisateurs ne pouvaient pas résoudre le problème et que les données étaient accessibles au public pour décider de ne pas notifier les utilisateurs.

Facebook a publié un article de blog détaillant les «faits sur les reportages sur les données Facebook». La société a déclaré que les acteurs malveillants n’avaient pas piraté ses systèmes. Au lieu de cela, ils ont utilisé une technique de grattage qui impliquait l’outil important de contact de Facebook. Cette fonctionnalité permet aux utilisateurs de Facebook d’importer leurs listes de contacts pour trouver des amis avec lesquels se connecter. Facebook affirme que les attaquants ont profité des vulnérabilités pour accéder aux informations des utilisateurs:

Lorsque nous avons pris conscience de la façon dont des acteurs malveillants utilisaient cette fonctionnalité en 2019, nous avons apporté des modifications à l’importateur de contacts. Dans ce cas, nous l’avons mis à jour pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et de télécharger un grand nombre de numéros de téléphone pour voir ceux qui correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils pouvaient interroger un ensemble de profils d’utilisateurs et obtenir un ensemble limité d’informations sur les utilisateurs inclus dans leurs profils publics. Les informations ne comprenaient pas d’informations financières, d’informations sur la santé ou de mots de passe.

Facebook ne dit pas quel type d’informations les attaquants ont volé. Les détails incluent les noms complets, les lieux, les numéros de téléphone et les anniversaires. C’est encore beaucoup d’informations dont certaines personnes pourraient abuser. Les utilisateurs concernés pourraient prendre des mesures pour empêcher les pirates de les attaquer. Cela pourrait inclure le changement de numéro de téléphone et même la sortie de Facebook.

La société ne propose aucun plan d’action, et le fait est que la plupart des gens ne peuvent pas faire grand-chose pour empêcher la circulation de leurs données. Facebook dit qu’il a lui-même des options limitées. «Bien que nous ne puissions pas toujours empêcher la recirculation de tels ensembles de données ou l’apparition de nouveaux ensembles de données, nous avons une équipe dédiée concentrée sur ce travail», lit-on dans l’article du blog. Facebook dit également aux utilisateurs que c’est une bonne idée de faire des vérifications régulières de la confidentialité pour ajuster leurs paramètres concernant les personnes pouvant les atteindre et les contacter sur Facebook.

Au cours de l’année dernière, j’ai demandé à Facebook plus d’une douzaine de fois s’il allait intenter une action en justice contre Clearview AI pour avoir récupéré des millions de photos sur Instagram et Facebook. Aucune action en justice n’a été intentée et FB n’a rien dit dans le dossier.https: //t.co/htkKCD5bT0 – Ryan Mac🙃 (@ RMac18) 7 avril 2021

Alors que Facebook affirme que la technique de scraping enfreint ses politiques, The Verge souligne que Facebook n’a pris aucune mesure contre une autre entreprise qui a également récupéré des données des applications Facebook. Clearview AI a récupéré des photos d’Instagram et de Facebook, mais Facebook n’a pas poursuivi Clearview.

Les utilisateurs qui veulent voir si les 533 millions de «hack» incluent leurs données Facebook peuvent utiliser le service Have I Been Pwned.

