Des millions d'utilisateurs de Facebook ont pu voir leurs données personnelles dévoilées à quiconque en ligne après que des experts ont découvert une importante violation de données.
Des chercheurs en sécurité ont découvert que jusqu'à 267 millions d'utilisateurs de Facebook pouvaient avoir laissé leurs coordonnées ouvertes à des pirates après qu'une base de données contenant leurs informations personnelles ait été laissée non sécurisée sur le Web pendant près de deux semaines.
Les noms, les numéros de téléphone et les identifiants d'utilisateur Facebook figuraient parmi les détails exposés, mais aucune information de paiement ne serait mise en danger.
Sommaire
Pas si privé
La brèche a été découverte par le chercheur en sécurité Bob Diachenko ainsi que Comparitech, qui a découvert une base de données Elasticsearch non sécurisée contenant les informations sur l'utilisateur.
"Une base de données de cette taille est susceptible d'être utilisée pour le phishing et le spam, en particulier via SMS", a déclaré Diachenko. «Les utilisateurs de Facebook devraient être à l'affût des messages texte suspects. Même si l'expéditeur connaît votre nom ou certaines informations de base vous concernant, soyez sceptique vis-à-vis des messages non sollicités. »
Diachenko a noté que les utilisateurs concernés venaient principalement des États-Unis, ceux qui n'avaient pas défini leurs profils Facebook comme "privés" étant les plus à risque. Après avoir découvert la base de données, lui et l'équipe de Comparitech ont alerté le FAI hébergeant les informations, mais elles étaient en ligne depuis environ deux semaines avant d'être supprimées.
La façon dont les informations ont été volées n'est pas claire, mais une théorie possible est que les pirates ont pu compromettre l'API de développeur de Facebook, qui est utilisée par les créateurs d'applications pour accéder aux profils utilisateur et aux données connectées.
Ce n'est pas la première fois que Facebook est accusé de négliger la confidentialité des utilisateurs, le réseau social se battant actuellement contre un procès suite à une attaque l'année dernière qui a laissé environ 29 millions de comptes d'utilisateurs ouverts aux pirates.
Via Threatpost