Hack de Facebook : ce que les pirates vous ont réellement pris

Une fois de plus la gueule de bois du lundi matin pour les utilisateurs du réseau social Facebook. Les clés d’accès de 29 millions de comptes ont bel et bien été dérobées par les pirates et les données personnelles des possesseurs de ces comptes ont donc pu être utilisées.

 

Les premières victimes commencent dès à présent à geindre en ligne. L’occasion de constater l’ampleur des dégâts. Ainsi, ce célèbre entrepreneur français parti chercher fortune outre-Atlantique.

Son nom, son adresse email, son numéro de téléphone sont désormais dans la nature. Mais ce n’est pas tout. Son nom de compte, sa date de naissance, son genre (un homme en l’espèce), les types d’appareils qu’il utilise pour accéder à Facebook, ou encore le langage utilisé pour se connecter au service ; autant d’informations aujourd’hui à disposition des pirates.

 

Une vie privée évaporée

Et non, ce n’est pas tout. Si les données suivantes ont été éditées dans Facebook, elles sont aussi dans le petit carnet des pirates à présent :

  • Le statut de relation (marié, en couple, célibataire, c’est compliqué, …)
  • La religion
  • La ville de naissance
  • La ville de résidence
  • Le travail
  • Le cursus scolaire
  • Le nom de votre site Internet

Et encore non, ce n’est pas tout. Bien sûr, les pirates profitent également de l’obsession de Facebook à suivre en permanence ses membres.

Les 10 derniers endroits que vous avez mentionné où sur lesquels vous avez été mentionnés sont aussi disponibles aux pirates. Ces endroits sont déterminés par les lieux nommés dans les posts, mais il ne s’agit pas des données de géolocalisation transmises à Facebook par votre appareil (quoi, vous ignoriez que votre appareil transmettait des données de géolocalisation à Facebook ?)

 

Les 15 dernières recherches effectuées dans la barre de recherche de Facebook sont aussi dans la nature. Concrètement les pirates ont accès aux noms de profils des personnes qui vous recherchez en ligne. Ou aux noms de pages.

Et bien sûr, cerise sur le gâteau, les pirates ont accès à l’ensemble des personnes et des pages que vous suivez avec votre compte Facebook.

Oui, ça commence à faire beaucoup.

« Nous sommes désolés de ce qui s’est passé »

Le réseau social n’a pas ventilé ces 29 millions de victimes par pays et l’on ignore notamment le nombre de victimes françaises. Facebook s’est contenté de confirmer que moins de cinq millions de comptes auraient été touchés en Europe.

« Nous avons déterminé que les attaquants utilisaient des jetons (token) d’accès pour obtenir un accès non autorisé aux informations de compte d’environ 30 millions de comptes Facebook. Nous sommes désolés de ce qui s’est passé. Votre vie privée est extrêmement importante pour nous » explique dans un post de blog l’entreprise.

Et Facebook de donner quelques explications sur les avancées de l’enquête en cours.

« Le 25 septembre 2018, nous avons découvert que des attaquants avaient exploité une vulnérabilité causée par l’interaction complexe de trois bugs dans notre système pour obtenir des jetons d’accès. Les jetons peuvent être utilisés, comme une clé numérique, pour demander certaines informations via notre plate-forme. Nous avons agi rapidement pour sécuriser le site et avons commencé une enquête pour déterminer si des informations de Facebook avaient été consultées et combien d’utilisateurs avaient été touchés ».

« Pour protéger nos utilisateurs pendant que nous menions une enquête, nous avons invalidé les jetons d’accès de près de 90 millions de comptes potentiellement affectés par cette vulnérabilité. Personne n’a eu besoin de changer son mot de passe ».

« Nous avons maintenant déterminé qu’entre le 14 et le 27 septembre, les attaquants ont utilisé les jetons d’accès pour obtenir certaines informations de compte Facebook sur notre plate-forme. Ces jetons d’accès ont depuis été invalidés, ce qui empêche tout accès ultérieur aux informations de compte Facebook ».

Pour rappel, la faille de sécurité utilisée, au niveau de la fonction “Voir en tant que” avait permis à des pirates de récupérer les clés d’accès à un peu moins de 50 millions de comptes.

Go to Source


bouton-devis