Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Le 06 novembre 2019 à 09h39

Nouveau problème de sécurité pour le réseau social, qui ne s’en cache pas : l’information provient de son propre communiqué.

L’entreprise rappelle qu’en avril 2018, elle a procédé à plusieurs changements sur son API Groups, dont les autorisations pouvaient être utilisées trop largement pour accéder aux données des utilisateurs. Depuis le serrage de vis, une surveillance a été mise en place.

Facebook avertit ainsi que des applications gardaient un accès à des informations comme le nom et la photo de profil, en lien avec l’activité du groupe auquel un utilisateur pouvait être inscrit. Ces accès ont été coupés.

La société annonce également qu’une centaine de « partenaires » ont été contactés pour des accès potentiels à ces informations après avril 2018. Elle ne semble pas certain du nombre exact, mais ajoute que 11 d’entre eux ont accédé à ces informations durant les deux derniers mois.

Il n’y aurait selon Facebook aucun abus, mais demande a été faite aux partenaires de supprimer les informations qui seraient encore en leur possession. Des audits sont prévus pour vérifier que le travail aura été bien fait.

Le 06 novembre 2019 à 09h39

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ils se sont inspirés d’Adobe pour leur sécurité chez Facebook ? Tous les jours une nouvelle histoire&nbsp;<img data-src=" />

votre avatar

Que pour les jeux en flash normalement.<img data-src=" />

votre avatar

Bien sûr que les dev on accès à tout, c’est comme ça depuis la nuit des temps de l’informatique. Même qu’on appelle ça le God Mode

votre avatar

Fist mode… nan ? On parle de Facebook là :p

votre avatar

<img data-src=" />

votre avatar

Au risque de me répéter….. “Ho mon Dieu…. s’pas possible”



Ca en devient lassant. <img data-src=" />

votre avatar







boogieplayer a écrit :



Bien sûr que les dev on accès à tout, c’est comme ça depuis la nuit des temps de l’informatique. Même qu’on appelle ça le God Mode





Pas si les données sont chiffrées et que les dev ne les ont pas.


votre avatar







wanou a écrit :



Pas si les données sont chiffrées et que les dev ne les ont pas.







Tu me sembles bien naïf jeune padawan.



Juste un exemple : les mot de passe. Rien n’empêche un dev de faire un bout de script qui enregistre les mdp en clair avant des les stocker en chiffrées. Rien n’empêche un dev de faire un script qui permet de se connecter à TOUS les comptes avec son mot de passe à lui. Etc… Etc…


votre avatar

Je ne suis ni jeune ni ton padawan.



Oui, actuellement, le respect des données personnelles est laissée au bon vouloir des DEV mais ce n’est pas une fatalité technique.



Tout est question d’API. Prenons un exemple: watsapp ou WeChat.



Les deux applications demandent d’avoir accès aux contacts (obligation côté Wechat), pour permettre:





  • de visualiser le nom correspondant à un numéro si ce numéro est dans le répertoire ;

  • d’aspirer la liste exaustive des liens de l’utilisateur pour cartographier les données.







    Le premier usage semble assez légitime mais le deuxième est carrément abusif.



    Si l’API permet un accès complet, alors il est impossible de pouvoir choisir entre les deux usages.

    Si l’API ne permet que de demander le nom correspondant à un numéro donné, avec un nombre limité de requêtes par jours, alors il est possible d’empêcher un DEV de faire ce qu’il veut.



    Et pour les big brother façon WeChat, il faudrait des API qui renvoient des données moisie si le programme exige cet accès et que l’utilisateur ne le veut pas.



    Bref, il y a moyen de bloquer les actions des DEV indélicats.

Facebook Groups : une centaine de développeurs pouvaient accéder aux données de membres

Fermer