Facebook : une faille de sécurité laisse s’échapper les numéros de téléphone de 267 millions d’utilisateurs

Les identifiants, numéros de téléphone et autre données de plus de 267 millions d'utilisateurs de Facebook ont fuité sur le web. Ces informations étaient disponibles dans une base de données accessible sans mot de passe ni aucune autre forme d'authentification. Alerté par des chercheurs en sécurité, l'hébergeur les a depuis retirées mais ces données sont déjà en circulation sur des forums de hackers.

Selon les chercheurs de la société Comparitech and security researcher, cette fuite de données provient probablement « d'une opération d'extraction illégale ou d'un abus d'API Facebook par des criminels ». La base de données examinée contient les identifiants, noms et numéros de téléphone de plus 267 millions d’utilisateurs de Facebook. Ces informations pourraient être facilement exploitées à des fins de phishing et de spams par SMS, entre autres formes d'attaque.

Facebook a ouvert une enquête

Cette base de données a été supprimée du serveur où elle était hébergée dès que les administrateurs ont été alertés, mais elle est restée librement accessible pendant deux semaines. Peu importe finalement qu'elle ait été retirée. Les chercheurs indiquent que le fichier est déjà disponible au téléchargement sur le dark web depuis une semaine.  « Nous sommes en train d'examiner ce problème, mais nous pensons qu’il s’agit de données obtenues avant les changements que nous avons effectués ces dernières années pour mieux protéger les données de nos utilisateurs », a confié un porte-parole de Facebook à l’Agence France-Presse.

Ce n'est pas la première fois que Facebook est touché par une telle fuite de données. En septembre 2019, 419 millions d'identifiants reliés à des numéros de téléphone d’utilisateurs se sont retrouvés sur le web dans les mêmes conditions. Une base de données de cette taille est susceptible d'être utilisée pour des spams par email ou par SMS, voire pour des tentatives de phishing. Les chercheurs appellent les utilisateurs à redoubler de vigilance.

Lire également : Comment savoir si votre mot de passe a été piraté ?

Comment ces données se sont-t-elles retrouvées sur le web ?

Deux hypothèses sont avancées par les chercheurs. Ces informations proviennent probablement d'un abus d'API Facebook mis à la disposition des développeurs avant que le réseau social n'opère des changements en 2018 pour empêcher l'accès aux données sensibles des utilisateurs. Certaines données ont également pu être obtenues grâce au scraping, une technique qui exploite des robots pour extraire des informations depuis les profils d'utilisateurs accessibles publiquement. Pour réduire la probabilité d'en être victime, les chercheurs recommandent de restreindre la visibilité de vos données.

Pour ce faire, allez dans Paramètres => confidentialité et définissez tous les champs pertinents sur Amis ou Moi uniquement. Assurez-vous ensuite que l'option « Voulez-vous que les moteurs de recherche en dehors de Facebook affichent votre profil » est réglée sur Non.

Source : Comparitech