Facebook : 540 millions de données fuitées et 22 000 mots de passe en clair depuis les serveurs cloud Amazon (mise à nue) !

Facebook n'en finit décidément plus de battre un triste et dangereux record : celui des vulnérabilités sécuritaires au sein de son réseau social qui essuie, une nouvelle fois, un coup d'éclat du genre via la mise en lumière par UpGuard, de quelques 540 millions d'enregistrements et 22 000 identifiants qui étaient en accès libre depuis les serveurs Cloud dédiés, AWS (Amazon Web Service), au géant social.

 

 

La vulnérabilité concerne deux applications tierces de Facebook (qui, autrefois, n'étaient pas régulées : grosso modo, chaque développeur pouvait développer ce qu'il vouvait et le "distribuer" tel quel, sans grand levier sécuritaire du côté du réseau social qui, depuis, à instauré quelques règles en 2018 via le "Data Abuse Bounty") :

 

  • "Cultura Colectiva", une société Mexicaine spécialisée dans l'actualité évènementielle et les tendances sociales dont l'application dédiée aurait permis de mettre la main sur pas moins de 540 millions de données en tout genre : commentaires, "j'aime", réactions, nom du compte, identifiants "et plus encore", souligne UpGuard ;
  • "At The Pool", dont le rôle principal aurait été la sauvegarde de données et, donc, au passage, des données-utilisateurs, depuis le(s) serveur(s) Cloud dédié(s) Amazon S3. Au final, identifiants, nom d'utilisateur, listing amis, mentions "j'aime", goûts relatifs / rattachés au compte (livres, photos, évènements, groupes, alerte, intérêts, mots de passe "et plus encore"). L'équipe sécuritaire confirme que les mots de passe concernerait seulement lié à l'application "At The Pool" mais qu'il n'est, cependant, pas exclu que la faille concernait le mot de passe Facebook dans le cas où l'utilisat(-eur / -trice) utiliserait le même mot de passe sur les deux services.

 

Lot de consolation : "At The Pool" affiche depuis 2014 (cession d'activité) une erreur 404 sur son site mais les mots de passe étaient "en téléchargement publique" et en clair. Pour le reste, si aucune information officielle n'a filtrée concernant la date d'origine de cette fuite de donnée, l'alerte a été lancée par UpGuard depuis le 10 et 14 Janvier 2019, où les deux entreprises - "Cultura Colectiva" et "At The Pool" - ont été respectivement informés de l'affaire ; sans réponse, depuis. AWS a été informé le 28 Janvier dernier et a transmis l'information "au propriétaire" qui a sécurisé l'ensemble, officiellement, le 3 Avril, selon les propos d'UpGuard. Concernant Facebook, il s'est exprimé brièvement via Bloomberg en se voulant rassurant : "Les politiques de la société interdisent le stockage d’informations Facebook dans une base de données publique. Une fois l'alerte du problème connue, Facebook a collaboré avec Amazon pour supprimer les bases de données [...] Facebook s’engage à collaborer avec les développeurs sur sa plateforme afin de protéger les données des utilisateurs"... A suivre !

 

Source : UpGuard - 3 Avril 2019 - Facebook : deux applications tierces causent la fuite de 540 M d'enregistrements et 22 000 mots de passe en clair.