Une faille de données Facebook en 2019 est revenue hanter l’entreprise et a affecté les utilisateurs il y a quelques semaines lorsque les données que les pirates ont récupérées sur le site à partir de plus de 533 millions de comptes ont refait surface en ligne. Facebook a mal géré la situation, affirmant que le problème de sécurité avait été corrigé lorsque la violation de données avait été découverte pour la première fois et qu’il n’en informerait même pas les utilisateurs concernés. L’un de ces utilisateurs s’est avéré être le PDG de Facebook, Mark Zuckerberg. Les chercheurs ont utilisé ses données pour prouver que son numéro de téléphone était associé à un compte Signal existant, une application de chat en concurrence avec WhatsApp et Facebook Messenger. Cela a montré comment les données personnelles pouvaient être utilisées pour cibler les victimes. Les utilisateurs de Facebook ne peuvent pas faire grand-chose pour résoudre le problème, car la base de données en circulation ne peut pas être supprimée. Ils peuvent essayer de déterminer si leurs données sont incluses dans le piratage. La modification du numéro de téléphone associé à leur identité dans la base de données est également une option.

Le deuxième hack était de portée plus limitée. Il existe un outil qui permet aux gens de connaître les numéros de téléphone des utilisateurs de Facebook qui ont «aimé» une page sur un réseau social. Le piratage n’est pas lié à la fuite de base de données qui a affecté des centaines de millions de comptes.

Un nouveau rapport indique maintenant qu’une troisième fuite de données pourrait être imminente et qu’elle pourrait être de la même variété que le problème de sécurité de 2019. Les attaquants pourraient être en mesure de récupérer des e-mails appartenant à des millions d’utilisateurs Facebook directement à partir du service.

Un chercheur en sécurité a trouvé un moyen de lier des comptes Facebook à jusqu’à 5 millions d’adresses e-mail par jour, à l’aide d’un outil appelé Facebook Email Search v1.0. Le chercheur anonyme a informé Ars Technica de la vulnérabilité, affirmant que Facebook lui avait dit qu’il ne pensait pas que les problèmes de sécurité qu’il avait trouvés étaient suffisamment «importants» pour être corrigés.

Lors d’un essai, le chercheur a utilisé 65 000 e-mails. «Comme vous pouvez le voir dans le journal de sortie ici, j’obtiens une quantité significative de résultats», a-t-il déclaré à Ars. «J’ai dépensé peut-être 10 $ pour acheter environ 200 comptes Facebook. Et en trois minutes, j’ai réussi à faire cela pour 6000 [email] comptes.”

Le chercheur a expliqué que le fichier de sortie lui donnerait le nom de l’ID utilisateur et l’adresse e-mail qui lui est associée. Il a estimé que la procédure pourrait être utilisée pour extraire jusqu’à 5 millions d’adresses e-mail par jour. L’attaque peut apparemment exposer des e-mails même lorsque les utilisateurs choisissent des paramètres pour empêcher leurs e-mails de devenir publics.

Facebook a reconnu le bogue dans une déclaration à Ars sans confirmer si la société a dit au chercheur que le bogue qu’il a découvert ne justifiait pas une correction:

Il semble que nous ayons fermé par erreur ce rapport de prime de bogue avant de l’acheminer vers l’équipe appropriée. Nous apprécions le partage des informations par le chercheur et prenons des mesures initiales pour atténuer ce problème pendant que nous suivons pour mieux comprendre leurs conclusions.

Une vulnérabilité similaire a été corrigée plus tôt cette année. L’attaque par e-mail qu’il a démontrée «est essentiellement exactement la même vulnérabilité», a-t-il déclaré. «Et pour une raison quelconque, bien que j’aie démontré cela à Facebook et que je leur en ai fait part, euh, ils m’ont dit directement qu’ils n’agiraient pas contre cela.»

On ne sait pas si quelqu’un a abusé de ce problème de sécurité. Mais si un chercheur en sécurité découvrait le bogue, une personne aux intentions malveillantes aurait pu facilement le découvrir.

La position de Facebook sur les violations de données qui n’impliquent pas de piratage des serveurs de Facebook est également troublante. Les 533 millions de hack entrent dans cette catégorie. Facebook le décrit comme un raclage de données. Le site belge DataNews a obtenu un e-mail interne de Facebook expliquant la stratégie de Facebook pour faire face à ces violations.

Facebook veut normaliser le grattage de données et insiste sur le fait qu’il s’agit d’un problème courant dans l’industrie. L’e-mail explique que Facebook attend pratiquement que la couverture médiatique de la violation de données diminue à court terme. «En supposant que le volume de presse continue de baisser, nous ne prévoyons pas de déclarations supplémentaires sur cette question», lit-on dans l’e-mail. «À plus long terme, cependant, nous nous attendons à plus d’incidents de grattage et pensons qu’il est important à la fois de présenter cela comme un problème majeur du secteur et de normaliser le fait que cette activité se produit régulièrement.» L’e-mail indiquait également que Facebook prévoyait d’informer le public via des publications supplémentaires sur les attaques de grattage de données et ce que l’entreprise fait pour les empêcher.

