Agence web » Actualités du digital » Facebook a ignoré une vulnérabilité qui a fait fuir des millions d’adresses e-mail d’utilisateurs –

Facebook a ignoré une vulnérabilité qui a fait fuir des millions d’adresses e-mail d’utilisateurs –

ParTremplin Numérique Publié le
Une image censurée du logiciel Facebook Email Search v1.0.
Une image censurée du logiciel Facebook Email Search v1.0. Ars Technica

Les pirates utilisent un logiciel appelé Facebook Email Search v1.0 pour découvrir des millions d’adresses e-mail d’utilisateurs Facebook, même si les adresses sont définies comme privées. Ces données utilisateur, associées aux 533 millions de numéros de téléphone divulgués depuis Facebook il y a à peine quelques semaines, peuvent aider les pirates informatiques à pénétrer dans des comptes ou à créer une base de données contenant les informations privées des utilisateurs de Facebook.

Facebook Email Search v1.0 exploite une vulnérabilité frontale dans le site Web de Facebook. Il relie automatiquement les identifiants utilisateur à leur adresse e-mail associée, permettant à un seul pirate informatique de sécuriser environ 5 millions d’adresses e-mail par jour. Facebook dit avoir corrigé une vulnérabilité presque identique plus tôt cette année, bien que le problème reste clairement non résolu.

Lors d’une conversation avec Ars Technica, un chercheur anonyme affirme qu’il a démontré l’exploit à Facebook, mais que le géant des médias sociaux a choisi d’ignorer le problème. Facebook a déclaré au chercheur qu’il «ne considère pas [the vulnerability] être suffisamment important pour être corrigé », malgré le fait qu’il s’agit d’un risque de sécurité clair et d’une violation de la vie privée des utilisateurs.

Prêt pour un double coup dur? Facebook a non seulement ignoré la vulnérabilité, mais encourage activement ses représentants de relations publiques à minimiser et à normaliser les violations de données. Un e-mail interne de Facebook envoyé accidentellement aux journalistes de Data News après la fuite du numéro de téléphone du 5 avril indique ce qui suit:

STRATÉGIE À LONG TERME: En supposant que le volume de presse continue de baisser, nous ne prévoyons pas de déclarations supplémentaires sur cette question. À plus long terme, cependant, nous nous attendons à plus d’incidents de grattage et pensons qu’il est important à la fois de le présenter comme un problème général du secteur et de normaliser le fait que cela se produit régulièrement. Pour ce faire, l’équipe propose un post de suivi dans les prochaines semaines qui parle plus largement de notre travail anti-grattage et offre plus de transparence sur la quantité de travail que nous faisons dans ce domaine. Bien que cela puisse refléter un volume important d’activités de grattage, nous espérons que cela aidera à normaliser le fait que cette activité est en cours et à éviter les critiques selon lesquelles nous ne sommes pas transparents sur des incidents particuliers.

Des centaines de millions d’utilisateurs de Facebook ont ​​vu leurs informations privées compromises ce mois-ci en raison de deux vulnérabilités de site Web distinctes. Et face à ce «volume important d’activités de grattage», Facebook espère normaliser les fuites et admet que les vidages de données sont «en cours». Pour un site Web obsédé par la collecte de données utilisateur, la négligence de Facebook est un signal d’alarme majeur.

Facebook déclare maintenant qu’il «a fermé par erreur ce rapport de prime de bogue avant de l’acheminer vers l’équipe appropriée», et qu’il enquête actuellement sur le problème. Il n’est pas clair quand l’entreprise corrigera réellement cette vulnérabilité ou combien de comptes ont été affectés. L’impact actuel des données utilisateur divulguées est également inconnu.

Source: Ars Technica, Data News

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.