Facebook : accès illégitime à une API permettant une fuite de données personnelles !

Le 24 Juillet 2019, la FTC (Federal Trade Commission), sanctionnait le réseau social numéro un à hauteur de 5 milliards de dollars. Il faut croire que cela n'a malheureusement pas suffit pour clore définitivement le sujet sensible de la data puisque un nouveau problème sécuritaire aurait permis, depuis Avril 2018, le versement de données personnelles, suite à une permission maladroitement non-clôturée...

 

 

"Nous avons récemment constaté que certaines applications conservaient l'accès plus longtemps que prévu aux informations relatives aux membres du groupe, telles que les noms et les images de profil associées à l'activité du groupe, à partir de l'API "Groupes". Nous avons depuis retiré leur accès. Aujourd'hui, nous contactons également une centaine de partenaires ayant pu accéder à ces informations depuis l'annonce de restrictions sur l'API des groupes, mais il est probable que le nombre réellement utilisé est inférieur et qu'il a diminué au fil du temps. Nous savons qu'au moins 11 partenaires ont eu accès aux informations des membres du groupe au cours des 60 derniers jours. Bien que nous n’ayons vu aucune preuve d’abus, nous leur demanderons de supprimer toutes les données de membre qu’ils auraient pu conserver et nous effectuerons des audits pour confirmer qu’elles ont bien été supprimées", est-il expliqué dans un communiqué officiel du 5 Novembre dernier.

L'API en question - "groupes" - étaient censé révoquer l'accès en Avril 2018. Or, selon les propos de Facebook, il a été constaté sur le tard que passé Avril 2018, certains utilisateurs ou développeurs avaient encore accès à certaines données, telles que le nom du groupe, son nombre de participant(e)s et le contenu des billets publiés ; voire le nom et la photo de profil pour les membres qui avaient coché une option spécifique...

Avec précaution, Facebook réitère ses excuses, tout en rappelant ses obligations de transparence découlant de l'accord conclu avec la FTC, en Juillet dernier. Les audits qui en découleront devront, sans doute, mettre en lumière quelques autres incidents du genre... A suivre !

 

Source : Facebook - 5 Novembre 2019 - Faille, accès non restrictif : API "Groups".