Rapport : 267 millions d'identifiants et numéros de téléphone d'utilisateurs de Facebook exposés en ligne (MISE À JOUR : maintenant 309 millions)
Une base de données contenant plus de 267 millions d’identifiants d’utilisateurs, de numéros de téléphone et de noms de Facebook a été exposée sur le Web, accessible à tous sans mot de passe ni autre authentification.
Comparitech s'est associé au chercheur en sécurité Bob Diachenko pour découvrir le cluster Elasticsearch. Diachenko pense que la masse de données est très probablement le résultat d'une opération de grattage illégale ou d'un abus de l'API Facebook par des criminels au Vietnam, selon les preuves.
Les informations contenues dans la base de données pourraient être utilisées pour mener des campagnes de spam et de phishing par SMS à grande échelle, entre autres menaces pour les utilisateurs finaux.
Diachenko a immédiatement informé le fournisseur d'accès Internet qui gère l'adresse IP du serveur afin que l'accès puisse être supprimé. Cependant, Diachenko affirme que les données ont également été publiées sur un forum de hackers sous forme de téléchargement.
Mise à jour du 6 mars 2020 :Un deuxième serveur a été découvert par ce qui semble être le même groupe criminel. Les données de ce serveur sont identiques au premier, plus 42 millions d'enregistrements supplémentaires. Nous avons mis à jour cet article en conséquence.
Vous souhaitez en faire davantage pour protéger votre vie privée et votre sécurité ?Consultez notre liste d’outils recommandés :- Meilleurs VPN
- Meilleur antivirus
- Meilleurs gestionnaires de mots de passe
- Meilleure protection contre le vol d'identité
Chronologie de l'exposition
La base de données a été exposée pendant près de deux semaines avant que l’accès ne soit supprimé. Voici ce que nous savons :
- 4 décembre 2019 – La base de données a été indexée pour la première fois par les moteurs de recherche.
- 12 décembre 2019 – Les données ont été publiées en téléchargement sur un forum de hackers.
- 14 décembre 2019 – Diachenko a découvert la base de données et a immédiatement envoyé un rapport d'abus au FAI gérant l'adresse IP du serveur.
- 19 décembre 2019 – L'accès à la base de données a été supprimé.
- 2 mars 2020 – Un deuxième serveur contenant des enregistrements identiques plus 42 millions supplémentaires a été indexé par le moteur de recherche BinaryEdge.
- 4 mars 2020 – Diachenko découvre le deuxième serveur et alerte l'hébergeur.
- 4 mars 2020 – Le serveur a été attaqué et détruit par des acteurs inconnus.
Généralement, lorsque nous trouvons des données personnelles exposées comme celle-ci, nous prenons des mesures pour en informer le propriétaire de la base de données. Mais parce que nous pensons que ces données appartiennent à une organisation criminelle, Diachenko s'est adressé directement aux parties hébergeant les serveurs et les adresses IP concernées.
Peu de temps après que Diachenko ait découvert le deuxième serveur, celui-ci a été attaqué par un inconnu. Les bases de données d'informations personnelles ont été remplacées par des données factices et des noms de bases de données indiquant « please_secure_vos_serveurs ».
Base de données exposée après une attaque inconnue.
Quelles données ont été exposées
Initialement, 267 140 436 enregistrements ont été exposés. La plupart des utilisateurs concernés venaient des États-Unis. Diachenko dit qu'ils semblent tous valables. Chacun contenait :
- Un identifiant Facebook unique
- Un numéro de téléphone
- Un nom complet
- Un horodatage
Le serveur comprenait une page de destination avec un tableau de bord de connexion et une note de bienvenue.
Les identifiants Facebook sont des numéros publics uniques associés à des comptes spécifiques, qui peuvent être utilisés pour discerner le nom d’utilisateur d’un compte et d’autres informations de profil.
Le deuxième serveur exposé en mars 2020 contenait les mêmes 267 millions d’enregistrements que le précédent, plus 42 millions d’enregistrements supplémentaires. Il était hébergé sur un serveur Elasticsearch américain. 25 millions de ces enregistrements contenaient des informations similaires : identifiants Facebook, numéros de téléphone et noms d’utilisateur.
16,8 millions de nouveaux enregistrements contenaient encore plus d'informations, notamment :
- Facebook ID
- Numéro de téléphone
- Détails du profil
- Adresses mail
- Quelques autres données personnelles
Comment les criminels ont-ils obtenu les données de Facebook ?
La manière dont les criminels ont obtenu les identifiants d’utilisateur et les numéros de téléphone n’est pas tout à fait claire. Une possibilité est que les données aient été volées dans l’API des développeurs de Facebook avant que l’entreprise ne le fasse. accès restreint aux numéros de téléphone en 2018. L'API de Facebook est utilisée par les développeurs d'applications pour ajouter un contexte social à leurs applications en accédant aux profils des utilisateurs, à la liste d'amis, aux groupes, aux photos et aux données d'événements. Les numéros de téléphone étaient disponibles pour les développeurs tiers avant 2018.
Diachenko affirme que l’API de Facebook pourrait également présenter une faille de sécurité qui permettrait aux criminels d’accéder aux identifiants d’utilisateur et aux numéros de téléphone même après que l’accès ait été restreint.
Une autre possibilité est que les données aient été volées sans utiliser du tout l'API Facebook, et plutôt extraites des pages de profil visibles publiquement.
Le « scraping » est un terme utilisé pour décrire un processus dans lequel des robots automatisés parcourent rapidement un grand nombre de pages Web, copiant les données de chacune d'entre elles dans une base de données. Il est difficile pour Facebook et d’autres sites de médias sociaux d’empêcher le scraping, car ils ne peuvent souvent pas faire la différence entre un utilisateur légitime et un robot. Le scraping est contraire aux conditions d’utilisation de Facebook et de la plupart des autres réseaux sociaux.
De nombreuses personnes ont les paramètres de visibilité de leur profil Facebook définis sur public, ce qui rend leur suppression triviale.
Ce n’est pas la première fois qu’une telle base de données est exposée. En septembre 2019, 419 millions d'enregistrements répartis dans plusieurs bases de données ont été exposés . Ceux-ci comprenaient également des numéros de téléphone et des identifiants Facebook.
Dangers des données exposées
Une base de données de cette taille est susceptible d'être utilisée à des fins de phishing et de spam, notamment via SMS. Les utilisateurs de Facebook doivent être à l'affût des messages texte suspects. Même si l'expéditeur connaît votre nom ou certaines informations de base vous concernant, méfiez-vous des messages non sollicités.
Les utilisateurs de Facebook peuvent minimiser les risques que leur profil soit supprimé par des inconnus en ajustant les paramètres de confidentialité de leur compte :
- Ouvrez Facebook et accédez à **Paramètres**
- Cliquez sur **Confidentialité**
- Définissez tous les champs pertinents sur **Amis** ou **Seulement moi**
- Ensemble **'Voulez-vous que les moteurs de recherche en dehors de Facebook créent un lien vers votre profil** à **Non**
Cela réduira les risques que votre profil soit supprimé par des tiers, mais le seul moyen de garantir que cela ne se reproduise plus est de désactiver ou de supprimer complètement votre compte Facebook.
Comment et pourquoi nous avons découvert ces données
Comparitech travaille avec Bob Diachenko pour découvrir des bases de données non sécurisées et les signaler au public. Notre objectif est de limiter l’accès aux données personnelles et leur utilisation abusive par des parties malveillantes, et de sensibiliser les personnes concernées aux risques potentiels.
Dès la découverte de données exposées, Diachenko informe immédiatement les responsables afin que la base de données puisse être fermée ou sécurisée. Nous analysons ensuite la fuite pour identifier les victimes, la durée de l'exposition et les menaces potentielles auxquelles elles pourraient être confrontées.
Rapports précédents
Comparitech et Diachenko s'associent régulièrement pour découvrir les données exposées. Certains de nos autres rapports incluent :
- 2,7 milliards d'adresses e-mail exposées provenant principalement de domaines chinois, dont 1 million incluaient des mots de passe
- Dossiers personnels détaillés de 188 millions de personnes découverts sur le Web
- 7 millions de dossiers d'élèves dévoilés par K12.com
- 5 millions de dossiers personnels appartenant à MedicareSupplement.com exposés au public
- 2,8 millions de dossiers clients CenturyLink exposés
- Fuite de 700 000 dossiers clients de Choice Hotels
DeHashed.com , un service de notification, de prévention et de conseil en matière de violation, a également découvert la deuxième exposition de données et nous a contacté pour confirmer les preuves indiquant que le même groupe criminel était responsable.