La société UpGuard, spécialisée dans la sécurité informatique, explique avoir identifié deux bases de données contenant des informations sensibles et librement accessibles sur des serveurs Amazon S3.
La première provient de chez Cultura Colectiva. Elle pèse 146 Go et contient des informations personnelles de pas moins de 540 millions d'utilisateurs : commentaires, j'aime, réactions, informations sur les comptes, etc.
La seconde brèche concerne le service At the Pool qui n'est plus actif depuis 2014. Stockée là encore sur un serveur S3, la base de données comprend de nombreuses informations sur des comptes Facebook, les amis, j'aime, etc., ainsi que 22 000 mots de passe en clair. Selon UpGuard ces derniers seraient rattachés aux comptes At The Pool, pas directement à Facebook.
Les chercheurs affirment avoir contacté Cultura Colectiva deux fois en janvier, sans aucune réponse. Ils ont joint Amazon en janvier et en février avec réponse à la clé, mais sans bloquer l'accès aux fichiers. Il faudra attendre le 3 avril au matin qu'un journaliste de Bloomberg contacte Amazon pour que l'accès soit coupé. Concernant At The Pool, les informations ont été rendues inaccessibles pendant qu'UpGuard menait son enquête et avant que les chercheurs ne contactent qui que soit.
Mais ce n'est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d'entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.
Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d'utilisateurs ».
Quoi qu'il en soit, le réseau social ajoute avoir mis fin à cette pratique.
Commentaires (10)
#1
Sur les deux fuites, on est clairement pas dans la responsabilité de Facebook. Ce sont des applications qui ont demandé à l’utilisateur si elles pouvaient accéder en son nom aux resources stockés par Facebook. Si l’utilisateur consent, la responsabilité est sur l’application et l’utilisateur.
#2
Mais ce n’est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d’entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défit toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.
Un porte-parole de Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe… un argument bien trop léger face à ce genre de pratiques, compte tenu de la réputation de la société en la matière. Pour rappel, elle a récemment reconnu avoir stocké en clair des mots de passe de « centaines de millions d’utilisateurs ».
Euh… Y’a plus d’informaticiens chez Facebook ou bien ils sont tous mégalos ?!
#3
Tout ca uniquement pour faire gonfler le nombre de connections ;)
#4
Le passage qui manque c’est “Facebook confirme, mais ajoute que la société ne stocke pas ces mots de passe …de façon chiffré”
" />
#5
#6
On les renomme bientôt Facepalm… ☺
#7
Le fait d’être guidé par le profit n’empêche pas de prendre un minimum de précautions. En l’occurrence, chiffrer les mdp a un coût ridiculement faible, bien plus faible que le coût de damage control qu’ils vont devoir faire maintenant. L’explication est certainement ailleurs, et ce n’est pas nécessairement plus rassurant.
Parce que la vrai question, c’est ‘depuis quand on a besoin du mdp de l’adresse e-mail pour la confirmer?‘. Ils ne peuvent pas envoyer un mail avec un lien secret comme tout le monde? Pourquoi ne le font-ils pas avec certains fournisseur ? Faut-il y voir un rapport avec le fait que certain d’entre eux, comme Gmail, bloquent et envoient une alerte quand quelqu’un se connecte depuis une IP anormale, ce qui aurait pu faire tiquer un utilisateur, même peu méfiant?
Ce qui est réellement fait avec ce mot de passe m’inquiète personnellement bien plus que le fait qu’il ait ou non été stocké en clair.
Cette affaire montre encore une fois qu’il est nécessaire d’éduquer très tôt les gens à la sécurité informatique, et notamment que personne d’autre que votre fournisseur de mail est légitime à vous en demander le mot de passe.
#8
#9
Mais ce n’est pas tout. Comme le rapporte Ars Technica, Facebook a demandé à certains de ses nouveaux utilisateurs d’entrer le mot de passe de leur messagerie « pour confirmer leur adresse email ». Ce genre de demande, qui défie toutes les règles de sécurité, semble arriver avec certains services uniquement, notamment Yanex et GMX, mais pas Gmail.
J’aimerais rappeler que des machins sociaux demandent régulièrement l’accès à la messagerie du produit pour pouvoir “lui trouver des contacts et recommander l’outil”.
Donc franchement, rien de surprenant.
#10
Le facepalm, c’est surtout les gens qui utilisent encore facebook…