du 04 avril 2019
Date

Choisir une autre édition

Facebook : encore des fuites de données et demande du mot de passe de votre messagerie email

La société UpGuard, spécialisée dans la sécurité informatique, explique avoir identifié deux bases de données contenant des informations sensibles et librement accessibles sur des serveurs Amazon S3.

La première provient de chez Cultura Colectiva. Elle pèse 146 Go et contient des informations personnelles de pas moins de 540 millions d'utilisateurs : commentaires, j'aime, réactions, informations sur les comptes, etc.

La seconde brèche concerne le service At the Pool qui n'est plus actif depuis 2014. Stockée là encore sur un serveur S3, la base de données comprend de nombreuses informations sur des comptes Facebook, les amis, j'aime, etc., ainsi que 22 000 mots de passe en clair. Selon UpGuard ces derniers seraient rattachés aux comptes At The Pool, pas directement à Facebook.

Les chercheurs affirment avoir contacté Cultura Colectiva deux fois en janvier, sans aucune réponse. Ils ont joint Amazon en janvier et en février avec réponse à la clé, mais sans bloquer l'accès aux fichiers. Il faudra attendre le 3 avril au matin qu'un journaliste de Bloomberg contacte Amazon pour que l'accès soit coupé. Concernant At The Pool, les informations ont été rendues inaccessibles pendant qu'UpGuard menait son enquête et avant que les chercheurs ne contactent qui que soit.

Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.

Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ».

Quoi qu'il en soit, le réseau social ajoute avoir mis fin à cette pratique.

chargement Chargement des commentaires...