Facebook : 533 millions de comptes compromis à cause d'une ancienne vulnérabilité

Stéphane Moussie |

Une base de données comprenant des informations sur 533 millions de comptes Facebook a été mise en ligne gratuitement sur un forum de hackers le 3 avril. C'est Alon Gal, un spécialiste en cybercriminalité, qui a tiré la sonnette d'alarme sur Twitter.

La base de données comprend l'identifiant Facebook, le prénom et le nom, l'adresse email, la date de naissance, la biographie et le numéro de téléphone liés aux comptes concernés, selon les informations qui étaient enregistrées par chaque utilisateur. Les mots de passe ne font pas partie du lot. Pas loin de 20 millions de comptes français sont touchés.

Cette base de données n'est pas de la toute dernière fraicheur, elle s'échangeait sur les marchés noirs depuis plusieurs mois au moins. L'internaute qui l'a mise à disposition librement le 3 avril la commercialisait auparavant 99 $.

Mark Zuckerberg en 2018. Image Anthony Quintano (CC BY)

Facebook a indiqué à Business Insider que ces données avaient pu être amassées à cause d'une vulnérabilité corrigée en août 2019. D'après une responsable de la communication du réseau social, il s'agit d'« anciennes données dont la divulgation avait été signalée en 2019. » C'est a priori la même vulnérabilité qui avait exposé 419 millions de numéros de téléphone.

Tout cela pour dire que les informations présentes dans cette base ne sont pas toutes nouvelles, elles sont pour certaines échangées sous le manteau depuis un moment déjà. Ça n'en reste pas moins problématique puisque ces données personnelles peuvent être exploitées par des malandrins pour toutes sortes de méfaits, notamment de l'hameçonnage.

Vous pouvez vérifier si votre adresse email ou votre numéro de téléphone (si vous l'aviez enregistré avant août 2019, donc) figure dans la fuite grâce au site have i been pwned? qui vient de prendre en compte la base de données. Si c'est le cas, vous devez redoubler de vigilance quand vous recevez des messages vous invitant à vous connecter sur tel ou tel site. Pour vérifier votre numéro de téléphone, vous devez saisir l'indicatif national, +33 pour la France, et retirer le premier 0, ce qui donne donc +33XXXXXXXXX. Have i been pwned? est conçu par un chercheur en sécurité reconnu, Troy Hunt, et devrait devenir open source à terme.


avatar newiphone76 | 

Voilà pourquoi je suis contre les gesticulations et les mensonges de FB.

avatar MarcMame | 

@newiphone76

"Voilà pourquoi je suis contre les gesticulations et les mensonges de FB."
—————
Tu es contre les mensonges ?
Hé ben dis donc... Un vrai rebelle.

avatar romainB84 | 

@MarcMame

Et je suis pour la paix dans le monde !
Je suis contre la guerre et la misère.
Mais je suis pour le bonheur et la joie 😁!
C’est trop bien d’être un bien-pensant en fait !!

https://m.youtube.com/watch?v=t1UolfzepJ8

avatar newiphone76 | 

@MarcMame

Qu’est-ce qui te gêne monsieur parfait ?

avatar MarcMame | 

@newiphone76

"Qu’est-ce qui te gêne monsieur parfait ?"

Tu t’enfonces...

avatar joeldu18cher | 

<

avatar joeldu18cher | 

et que doit -on faire à présent à notre simple niveau d'utilisateur? une fois son numéro de tél en vadrouille? en fait, on le donne partout alors...

avatar julien74 | 

@joeldu18cher

Le numéro en tant que tel c’est pas grave, mais lié avec les autres infos facebook : nom prénom, date de naissance, status marital, cursus scolaire, entreprises passées. Enfin tout ce que l’on peut renseigner dans facebook.
Et ça c’est parfait pour faire du hameçonnage social.
Un paquet d’utilisateurs lambda vont se faire avoir (nous ne sommes pas la cible ici, car un minimum geek)

avatar remsdevoiron | 

@julien74

Et si les numero de tel et l’adresse mail sont “pwnd” ? Surtout quand ces deux là sont associés sur tout un tas de site pour l’authentification à deux facteurs...

N’y a-t-il pas un risque également d’usurpation d’identité ?

avatar julien74 | 

@remsdevoiron

Le problème c’est le lien entre ton numéro de tel et les autres infos.
Ton numéro de tel il peut être deviné par robot , et c’est d’ailleurs comme ça que les telemarketeux véreux font, ils font du Ping call pour épurer la base et ne garder que les numéros « valides », et ensuite direction un cal’ center au Maroc (ou ailleurs).

avatar frankm | 

Fistbook

avatar romainB84 | 

@frankm

🤣 c’est rigolo, t’as dit « fistbook »… c’est un peu comme « Facebook » mais avec « fist »… et du coup… bah c’est pour ca que c’est rigolo parce que t’as …. Remplacé…. face…. Par ….f…..ist…. rigo….hé gnéé

https://www.dropbox.com/s/j4zoff0p84lmyv1/x1080.jpeg?dl=0

avatar geooooooooffrey | 

J'ai pas compris tu peux m'espliquer ?

avatar romainB84 | 
avatar v1nce29 | 

C’est rigolo, t’as posté un gif de quelqu'un qui mange du popcorn… c’est un peu comme si tu étais devant ta télé à regarder une série… et du coup… bah c’est pour ca que c’est rigolo parce que t’as …. hé gnéé

avatar romainB84 | 
avatar v1nce29 | 

C’est rigolo, t’as posté un jpeg de François Hollande… Or Hollande c'est bien connu il fait des blagues nulles … et du coup… bah c’est pour ca que c’est rigolo parce que t’as …. hé gnéé

Essaye Denisot.

T'es drôle en revanche la planète ne te dit pas merci.

avatar romainB84 | 

@v1nce29

C’est drôle parce que…. Ah bah nan en fait c’est pas drôle 🤣

avatar v1nce29 | 

Flûte je pensais que tu pouvais la recycler à l'infini ta vanne.

avatar romainB84 | 

@v1nce29

C’est rigolo parce que tu dis que je pouvais la recy.... ouais nan on va arrêter là 😅😅

avatar anonx | 

À démanteler cette merde !

avatar iftwst | 

FesseBouc un jour FessBouc toujours.

Sacré Mark !

avatar Felixba | 

Oh no — pwned!

avatar frascorpion | 

C’est ni la première et ni la dernière donc comme d’habitude ce Fessebouc...

avatar victoireviclaux | 

La PLS la plus totale

avatar MachuPicchu | 

Apple devrait aller plus loin, et établir une règle dans l’app store qui bannit les apps connues pour avoir eu plusieurs fuites de données, jusqu’à ce que le développeur prouve qu’il a mené une analyse approfondie et pris des mesures pour les contrer, aussi bien au niveau de l’app que de leurs serveurs. On leur laisse une deuxième chance, et si ça continue…bannissement définitif du compte développeur.

Inutile de dire que FB serait les premiers à se faire retirer leur compte développeur, ce qui serait une sacrée bonne nouvelle.

avatar 0MiguelAnge0 | 

@MachuPicchu

T’as besoin d’Apple pour virer toutes les Apps qui vivent de la pub..??

avatar rikki finefleur | 

Vu qu'apple a eu aussi des fuites de données , tu devrais mettre Apple dans le lot.

avatar Nesus | 

Le problème de pwned c’est qu’il agrège tellement de données volées que perso, ça fait des plombes qu’il me dit que j’ai été pwned. Bon, j’ai déjà changé 15 fois de mot de passe depuis, mais ça reste un super outil.

avatar Oliviou | 

Facebook qui insiste pour qu’on leur donne nos VRAIES infos... Si mes données Facebook étaient siphonnées, les pirates n’auraient que mes nom et prénom. Pas d’adresse mail, pas de numéro de téléphone, de date de naissance, de détails biographiques... On m’a souvent dit que j’étais parano, et on me le redira souvent. 🙄

avatar hervemac | 

Les informations présente ne sont pas nouvelles. Non c’est vrai que tu changes de nom, prénom et date de naissance tout les mois... Voilà pourquoi je boycott Facebook.

avatar Aardohan | 

Mon compte ne risque pas d’être compromis il est clôturé depuis un bail. 😎😎😎

avatar v1nce29 | 

t'as changé d'adresse ? de téléphone ?

avatar victoireviclaux | 

@v1nce29

🤣

avatar languedoc | 

Le mien aussi !!

avatar Hideyasu | 

Alors ça, on ne pouvait vraiment pas s’y attendre, quelle surprise !

avatar v_kowal (non vérifié) | 

Et bah voilà… super Facebook.

avatar Alex Giannelli | 

De que wa ? Facebook a subi un leak de données ? Mais qu'ouïs-je ? Qu'entends-je ? Qu'accoustique-je ? La vie est décidément pleine de surprise !

avatar MGA | 

👏👏👏 de vrais pro...

avatar Kriskool | 

Qui dit que le site have I been pawned est fiable ?

avatar Ielvin | 

@Kriskool

Lire la fin de l’article

avatar ⚜Dan | 

Allez sur le site officiel gouvernemental de votre pays, à partir de la vous pouvez saisir votre téléphone et permettre au gouvernement de bloquer toute les merdes de pub et de marketing.

Au Canada c’est: Do Not Call list.

avatar Glop0606 | 

Pour moi le pire des Gafams avec des conséquences sur nos sociétés désastreuses. Et dire que qu'il y a 7-8 ans, les grands manitous du marketing/lobbying prévoyaient que facebook allait tout remplacer dans le web (Mail, recherche, etc,...) ces visionaires,.... ahahahahahah

avatar rikki finefleur | 

Malheureusement vu le nombre d'actif , c'est en parti réussi.

avatar Moonwalker | 

🤣 🤣 🤣 🤣 🤣 🤣
🤣 🤣 🤣 🤣 🤣 🤣
🤣 🤣 🤣 🤣 🤣 🤣

avatar Dust | 

Le niveau des commentaires ici...
Merci macg pour le lien haveibeenpwned, je cherchais justement un moyen de savoir si j'étais concerné, et je ne savais pas que ce site faisait aussi les numéros de téléphone en plus des e-mails. Et il se trouve que mon numéro de téléphone fait partie de cette fuite... Maintenant je me demande quelles sont les données associées.
Un autre question, est-ce illégal de se procurer cette base de donnée? Si je veux justement checker la nature des infos liées à ma personne?

CONNEXION UTILISATEUR