Actualités

[MAJ 16 / 04] Facebook : quand une vulnérabilité remontant à Janvier 2021 refait surface en impactant 533 millions d’utilisateurs !

>>> Mise à jour du 16 Avril 2021 : dans un communiqué datant du 6 Avril 2021, Facebook s’est exprimé sur le sujet en confirmant que la vulnérabilité remontait, effectivement, à 2019. “Nous pensons que les données en question ont été extraites des profils Facebook des personnes par des acteurs malveillants utilisant notre importateur de contacts avant septembre 2019 […] Il est important de comprendre que les acteurs malveillants ont obtenu ces données non pas en piratant nos systèmes mais en les récupérant de notre plateforme avant septembre 2019 […] nous avons apporté des modifications à l’importateur de contacts. Dans ce cas, nous l’avons mis à jour pour empêcher les acteurs malveillants d’utiliser un logiciel pour imiter notre application et de télécharger un grand nombre de numéros de téléphone pour voir ceux qui correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils pouvaient interroger un ensemble de profils d’utilisateurs et obtenir un ensemble limité d’informations sur les utilisateurs inclus dans leurs profils publics. Les informations ne comprenaient pas d’informations financières, d’informations sur la santé ou de mots de passe“… A veiller ! <<<


Actualité originelle

Le fait n’est malheureusement pas nouveau : en Janvier 2021, le chercheur sécuritaire Alon Gal (Hudson Rock) alertait grandement au sujet d’un bot (robot) sous Telegram : moyennant finance, celui-ci proposait des listings de numéros de téléphone pointant vers des comptes-utilisateurs… sous Facebook. Vraisemblablement, la vulnérabilité de l’époque (un bon trimestre) n’a toujours pas été approchée ou colmatée par le réseau social.

 

 

Au 14 Janvier 2021, pour rappel, Alon Gal faisait état de nombreuses fuites dans presque tout les recoins du globe terrestre : concernant la France, ils étaient quelques 19 848 559. L’ensemble des pays étaient concernées par la nature des données impactées suivantes :

 

  • Numéro de téléphone,
  • Identifiant Facebook,
  • Nom complet,
  • Adresse postale complète,
  • Adresse postale complète (ancienne),
  • Date de naissance,
  • e-Mail,
  • Date de création du compte,
  • Statut : communauté, relations, amis,
  • Biographie, descriptif du compte.

 


A noter que la vulnérabilité originelle, selon les constatations et investigations de Motherboard, faisait elle-même référence à une vulnérabilité mise en lumière depuis Avril-Août 2019 : un reliquat qui n’aurait pas été bien jugulé ou, du moins, qui aurait trouvé un nouvel essor via une nouvelle variante, par exemple. La teneur de cette fuite de données reste donc toujours la même. Comme bien souvent, au bout d’un moment, les cyber-attaquants adaptent ou changent leur stratégie : pour le cas de Facebook, les données ont été dévoilées publiquement et non-plus moyennant une somme précise comme c’était le cas en Janvier sous Telegram via un paiement en crédit. Détail qui ne manquera pas de sel ou de piquant, selon les goûts : en aparté, un autre chercheur nommé Dave Walker a souligné le fait que le dirigeant et fondateur actuel de Facebook, Mark Zuckerberg, posséderait un compte Signal, une application concurrente qui exploite le chiffrement de bout-en-bout.

 

 

Les utilisateurs peuvent savoir si leurs données ont été compromises en allant sur le site HaveIBeenPwned ou le site francophone (pour les numéros français, donc) JeTeVois. Tout comme pour le cas de T-Mobile récemment, la technique du SIM-Swapping est exploitée pour ex-filtrer des informations depuis un compte dont l’accès est relié exclusivement à un numéro de téléphone. Il convient donc d’être vigilant(e) quant aux informations saisies sur l’Internet ; le mieux étant de multiplier les parades en optant pour la double-authentification (SMS ou application dédiée) tout en analysant le besoin d’entrer telle ou telle information et de la répercuter un peu partout, socialement… A veiller !




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.11.0