La société de sécurité Radware alerte sur l'infection de plus de 40 000 internautes via Relieve Stress Paint, un logiciel de dessin promettant la relaxation des utilisateurs. Cela en quelques jours.
Poussé vers les internautes via du spam par e-mail ou sur Facebook, il collecte des identifiants et cookies de comptes dans Google Chrome, en particulier de ceux gérant des Pages ou ayant enregistré un moyen de paiement. La société a eu accès au panneau d'administration de la campagne, et suspecte une extension à venir aux comptes Amazon.
En parallèle, TechCrunch rapporte que des trackers javascript aspirent les identifiants Facebook via Facebook Login sur des sites tiers. Les scripts auraient été trouvés sur 434 sites parmi le million les plus visités, dont ceux de Bandsintown, Fivver et MongoDB.
Selon ce que l'internaute fournit aux sites concernés, le nom, l'adresse e-mail, la classe d'âge, le genre, la langue et la photo de profil peuvent être récupérés. Les sociétés exploitant ces scripts, dont AudienceStream, Lytics, ProPS commercialiseraient des services à partir de ces données, même si l'ampleur du phénomène n'est pas connue.
À nos confrères, Facebook déclare enquêter sur l'affaire.
Citée, Tealium nous a contacté pour nous indiquer « ne pas utiliser les données Facebook de la manière décrite par les chercheurs. Les logiciels de Tealium sont utilisés par des sociétés pour gérer leurs propres données. Tealium n'utilise pas ces données dans quelque but que ce soit, pas plus qu'il ne les achète, partage ou revend. Tealium défend la confidentialité des données des utilisateurs, leur gouvernance et transparence ».
Commentaires (5)
#1
ah shit, Bandsintown
" />
#2
Ne jamais au grand jamais utiliser Facebook Login (ou Google login & co) ni activer les accès aux app…
#3
Facebook continue de creuser sa propre tombe
" />
#4
Voilà voilà, mais sinon “Cambridge Analytica” était un cas tout à fait unique et isolé
" />
#5
Oui, je suis trop fatigué pour tenter d’être constructif.