Fin septembre, Facebook comblait une faille de sécurité qui a exposé les données de 50 millions d'internautes, via la fonction « Voir le profil en tant que ». Une faille présente depuis juillet 2017.
La société revient sur ses chiffres. L'accès à 30 millions de comptes a effectivement été récupéré, soit 40 % de moins qu'envisagé au départ, assure Facebook. Pour près de la moitié, des données de localisation et orientations personnelles étaient exposées.
Les pirates contrôlaient certains comptes, qui leur ont permis de récupérer les jetons d'accès de 400 000 membres, en sautant automatiquement de ces comptes à ceux d'amis et ainsi de suite.
Le fil d'actualité, le nom des amis, les groupes auxquels le compte est abonné et le nom des conversations Messenger récentes étaient visibles pour ces profils. Dans le cas des administrateurs de Pages, le dernier message reçu était aussi accessible.
Ces 400 000 comptes ont ensuite servi à accéder aux données de 30 millions de comptes. Pour 15 millions, le nom et les coordonnées étaient visibles.
Pour 14 autres millions, de nombreuses autres données s'ajoutent : « le nom d'utilisateur, le genre, la langue, le statut amoureux, la religion, la ville de naissance et l'actuelle, la date de naissance, les types de terminaux utilisés, le cursus scolaire, l'emploi, les derniers dix endroits visités ou marqués par des tiers, le site web, les Pages ou personnes suivies et les 15 dernières recherches ».
Enfin, les attaquants n'auraient récupéré aucune donnée du dernier million d'utilisateurs, promet le groupe.
Dans une conférence de presse le 12 octobre, le vice-président Guy Rosen a refusé de révéler la moindre information sur les pirates ou leurs intentions. La société aurait interdiction de s'exprimer sur le sujet, dans le cadre de son enquête avec le FBI. Elle souligne tout de même que les attaquants étaient bien organisés, avec l'infrastructure adéquate.
Commentaires (17)
#1
le nom d’utilisateur, le genre, la langue, le statut amoureux, la religion, la ville de naissance et l’actuelle, la date de naissance, les types de terminaux utilisés, le cursus scolaire, l’emploi, les derniers dix endroits visités ou marqués par des tiers, le site web, les Pages ou personnes suivies et les 15 dernières recherches
Ils sont où les “mais je n’ai rien à cacher !” ?
#2
#3
#4
Il y a ceux la et les “ de toute façon on est tous fiché, ils savent tout de nous… ” qui te regarde en quête de soutien comme un vieux qui cherche son déambulateur.
" />
Comme si on était tous égaux dans la connerie ou qu’on devrait l’être , la blague.
#5
vous vous rendez quand même compte, l’équipe de NXI, que cette news est sortie y’a une bonne semaine sur tout les autres sites, et que vous êtes une fois de + en retard?
" /> (d’ailleurs faudrait arrêter un peu avec la hadopi parce que ça devient saoulant à force)
" />
Le problème n’est pas d’être en retard sur cette news en particulier mais plutôt que ça se reproduit très souvent, ce qui démontre un manque de sérieux et ne pousse pas à s’abonner. Comment voulez-vous que les gens paient quand ils voient que sur la partie gratuite du site vous êtes en retard sur les autres sites? Par contre sur les articles Hadopi tout les 3 jours là y’a pas de retard….
Et qu’on ne vienne pas me sortir la fameuse excuse “on est en retard parce qu’on approfondi l’information”, là on parle d’une brève qui ne nécéssite aucun approfondissement particulier, donc vous n’avez AUCUNE excuse.
Carton rouge à NXI pour ses retards répétés concernant les news du brief.
#6
Il y a sans doute une course dont je n’ai pas entendu parler. C’est quoi ce délire au juste ?
En plus on parle d’une faille présente depuis plus d’un an, être au courant maintenant ou une semaine plus tôt change quoi concrètement ?
#7
La rapidité est une chose, la rigueur une autre. Les deux sont importantes.
" />
Le billet de blog auquel cet article fait référence date de vendredi dans l’après-midi. Pas “y’a une bonne semaine”. Nous avons d’ailleurs déjà publié des éléments sur cette affaire la semaine passée. Le Brief est publié chaque matin, donc nous en parlons ce lundi matin
Pour le reste, je sais ton attachement à la critique négative de ce que nous proposons, et de notre modèle économique. Mais que diable, que cela finisse par être un minimum en rapport avec la réalité.
#8
#9
Non, je te réponds avec des faits et tu insistes sur ton propos de départ alors que ça n’a pas de sens.
" />
Après comme déjà dit des tas de fois : tu n’es pas content, tu n’aimes pas, on sait. Chercher n’importe quel prétexte pour l’exprimer est une chose, mais tu sembles le principal touché par les défauts que tu crois voir dans nos pratiques. Mais si ça te semble logique d’évoquer une annonce de Facebook avant même qu’elle ait été publiée, libre à toi
#10
#11
Il semble que dans cette affaire, seul les comptes sans 2FA ont été inpacté, peut être que ça va faire bouger les gens.
#12
Ils ont pas totalement tord les papis… Quand tu sais que tu peux acheter à peu près n’importe quelle donnée sur n’importe qui à n’importe qui et ainsi agréger des tonnes de données sur une personne, jusqu’à la connaître mieux que ses amis, bah… ouais, ça donne plus envie d’espérer :(
Ça demande des efforts et un inconfort considérable pour anonymiser sa navigation sur Internet :(
C’est bayzay. Tout est perdu. Help. #ouEstMonDéambulateur
#13
#14
Hmmm… Je comprends le côté “trop d’articles anti hadopi”, mais es-tu sûr que répéter en boucle la même phrase fasse avancer le débat? Même pour un troll, c’est de bas niveau…
#15
Les vieux qui cherchent leurs déambulateurs n’ont pas tord c’est sur…
" />
Par contre les illettrés du net (tl;dr) qui cherchent un soutien moral chez moi ils perdent clairement leur temps.
Ici on aime pas trop vexer le grand public, on est encore dans le préventif voir l’indignation quand il s’agit de vol de données personnel (c’est presque dans la ligne éditorial du site).
Mais si on change légèrement l’angle de vu on arrive a voir des gens compétents et éduqués défendre aveuglément l’irresponsabilité d’une masse qui a décidé de s’approprier l’informatique sans rien y comprendre.
Ces derniers coopère trop souvent , par ignorance et/ou bêtise , avec ces fameux “ voleurs de donnés ”.
Est-ce que le fait d’être compétent et/ou éduqué oblige une bienveillance sans limite a un troupeau d’abruti qui préfère se prendre en selfie plutôt que de lire (et comprendre) les CLUF et autres contrat ? Ou rien que comprendre l’outil qu’il a en face de lui ?
Pour ma part la réponse est négative car j’ai encore envie de faire une distinction entre une situation de vol et une situation de don/partage.
Et la on parle de quoi ? un vol de données personnelles sur facebook ?
#16
#17
Un viol n’est plus un viol si tout le monde est consentant,c’est juste de la baise.
" />
Par contre même pour de la baise il ne faut pas être trop bruyant car le voisin a le droit de dormir.