Un chercheur ukrainien en sécurité a signalé avoir trouvé une base de données avec les noms, les numéros de téléphone et les identifiants uniques de plus de 267 millions d'utilisateurs de Facebook, presque tous basés aux États-Unis, sur l'Internet ouvert. Ces données ont probablement été récoltées par des criminels, a déclaré le chercheur Bob Diachenko, un consultant indépendant en sécurité à Kiev.

La base de données, que Diachenko a découvert avec un moteur de recherche, était librement accessible en ligne pendant au moins 10 jours à compter du 4 décembre, il a dit. Il a informé le fournisseur d'accès Internet où il était hébergé lorsqu'il l'a trouvé le 14 décembre; cinq jours plus tard, il n'était plus disponible.

Diachenko a déclaré que quelqu'un avait téléchargé la base de données sur un forum de pirates informatiques deux jours avant de la découvrir, de sorte qu'elle pourrait avoir été partagée entre des voleurs en ligne.

Il a d'abord rapporté la découverte jeudi en partenariat avec le site Web d'actualités technologiques britannique Comparitech, qui, selon l'éditeur Paul Bischoff, a aidé à rédiger les découvertes de Diachenko sur les bases de données non sécurisées pendant environ un an.

Le chercheur a fourni à l'AP un échantillon de 10 enregistrements de la base de données et les identifiants (et deux numéros de téléphone auxquels on a répondu) ont été comparés à de vrais utilisateurs de Facebook.

Les preuves suggèrent que les données ont été collectées illégalement, très probablement par des criminels au Vietnam qui l'ont peut-être « gratté » des pages Facebook publiques ou en obtenant d'une manière ou d'une autre un accès privilégié au service. Le grattage est une collecte automatisée de données effectuée par des robots. Une petite fraction de la base de données comprend des détails sur les utilisateurs basés au Vietnam.

Diachenko a déclaré qu'il ne partageait pas la base de données avec Facebook, ce qui n'a pas directement confirmé la conclusion. Dans un rapport, le réseau social a déclaré qu'il enquêtait sur la question et que la découverte "probable" impliquait des informations obtenues avant que Facebook ne prenne des mesures de protection des données non spécifiées ces dernières années.

En 2018, le géant des médias sociaux a désactivé une fonctionnalité qui permettait aux utilisateurs de se rechercher par numéro de téléphone à la suite de révélations selon lesquelles le cabinet politique Cambridge Analytica avait accédé à des informations sur jusqu'à 87 millions d'utilisateurs de Facebook à leur insu ou sans leur consentement.

Diachenko a déclaré qu'il n'avait pas déterminé quand les données avaient été collectées. Il a déclaré que tous les enregistrements avaient des horodatages de janvier à juin 2019, mais qu'il n'était pas clair qui les avait générés.

Les experts en sécurité affirment que les utilisateurs de Facebook concernés sont plus à risque d'être ciblés par le spam, les attaques de phishing par vol de mot de passe et les tentatives d'usurpation d'identité. Les informations peuvent être croisées avec des adresses physiques et électroniques et d'autres données obtenues lors d'autres violations de données. Les identifiants d'utilisateur Facebook sont des numéros uniques associés à des comptes individuels.

En septembre, le site d'information TechCrunch a rapporté que les identifiants Facebook et les numéros de téléphone de plus de 400 millions d'utilisateurs ont également été découverts en ligne par un chercheur.

En mars, Facebook a révélé qu'il avait laissé des centaines de millions de mots de passe d'utilisateur lisibles par ses employés sur des serveurs internes pendant des années après qu'un chercheur en sécurité eut révélé l'erreur.

© 2019 La Presse Associée. Tous les droits sont réservés.