Le serveur exposé contenait plus de 419 millions d’enregistrements dans plusieurs bases de données sur les utilisateurs de différentes régions géographiques, dont 133 millions d’enregistrements sur les utilisateurs de Facebook basés aux États-Unis, 18 millions d’enregistrements d’utilisateurs au Royaume-Uni et plus de 50 millions sur les utilisateurs au Vietnam.
Mais comme le serveur n’était pas protégé par un mot de passe, n’importe qui pouvait trouver la base de données et y accéder.
Chaque enregistrement contenait l’ID Facebook unique d’un utilisateur et le numéro de téléphone figurant sur le compte. L’ID Facebook d’un utilisateur est généralement un numéro long, unique et public associé à son compte, qui peut être facilement utilisé pour discerner le nom d’utilisateur d’un compte.
Mais les numéros de téléphone n’ont pas été rendus publics depuis plus d’un an depuis que Facebook a restreint l’accès aux numéros de téléphone des utilisateurs.
TechCrunch a vérifié un certain nombre d’enregistrements dans la base de données en comparant le numéro de téléphone d’un utilisateur Facebook connu avec son ID Facebook. Il a été également vérifié d’autres dossiers en comparant les numéros de téléphone avec la fonction de réinitialisation de mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d’un utilisateur lié à son compte.
Certains des dossiers contenaient également le nom de l’utilisateur, son sexe et son lieu de résidence par pays.
Un ensemble d’enregistrements expurgés de la base de données du Royaume-Uni. Le « 44 » indique +44, l’indicatif du pays du Royaume-Uni et le « 7 » indique un numéro de téléphone cellulaire.
Il s’agit de la dernière faille de sécurité concernant les données de Facebook après une série d’incidents depuis le scandale de Cambridge Analytica, qui a vu plus de 80 millions de profils récupérés pour aider à identifier les électeurs qui se sont présentés aux élections présidentielles américaines de 2016.
Depuis, l’entreprise a été témoin de plusieurs incidents de récupération très médiatisés, notamment sur Instagram, qui a récemment admis avoir récupérer des données de profil en vrac.
Ce dernier incident a exposé des millions de numéros de téléphone d’utilisateurs uniquement à partir de leurs identifiants Facebook, les exposant ainsi au risque d’appels non sollicités et d’attaques d’échange de carte SIM, qui repose sur le fait que les opérateurs de téléphonie mobile se font piéger pour donner le numéro de téléphone d’une personne à un pirate. Avec le numéro de téléphone de quelqu’un d’autre, un attaquant peut forcer la réinitialisation du mot de passe sur tout compte Internet associé à ce numéro.
Sanyam Jain, chercheur en sécurité et membre de la Fondation GDI, a trouvé la base de données et a contacté TechCrunch après avoir été incapable de trouver le propriétaire. Après un examen des données, nous ne pouvions pas non plus. Mais après avoir contacté l’hébergeur, la base de données a été mise hors ligne.
Sanyam Jain a dit qu’il a trouvé des profils avec des numéros de téléphone associés à plusieurs célébrités.
Le porte-parole de Facebook, Jay Nancarrow, a déclaré que les données avaient été récupérées avant que Facebook ne coupe l’accès aux numéros de téléphone des utilisateurs.
« Cet ensemble de données est ancien et semble contenir des informations obtenues avant que nous n’apportions des changements l’année dernière pour empêcher les gens de trouver d’autres personnes en utilisant leur numéro de téléphone « , a déclaré le porte-parole. « Les données ont été retirées et nous n’avons vu aucune preuve que les comptes Facebook ont été compromis. »
Mais des questions subsistent quant à savoir exactement qui a récupéré les données, quand cela a été fait sur de Facebook et pourquoi.
Facebook a longtemps restreint l’accès des développeurs aux numéros de téléphone des utilisateurs. L’entreprise a également rendu plus difficile la recherche des numéros de téléphone des amis. Mais les données semblaient avoir été chargées dans la base de données exposée à la fin du mois dernier – bien que cela ne signifie pas nécessairement que les données sont nouvelles.
Cette dernière exposition des données est l’exemple le plus récent de données stockées en ligne et publiquement sans mot de passe. Bien qu’elle soit souvent liée à une erreur humaine plutôt qu’à une atteinte malveillante, l’exposition aux données représente néanmoins un nouveau problème de sécurité.
https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
