Discussion :

[Stéphane le calme]

533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne,
20 millions appartiennent à des utilisateurs en France

Un utilisateur d'un forum de piratage a publié samedi les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.

Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019.

Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock, qui a évoqué les données divulguées en ligne samedi.

« Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des mauvais acteurs profitant des données pour effectuer des attaques d'ingénierie sociale [ou] des tentatives de piratage », a déclaré Gal.

Gal a découvert les données divulguées pour la première fois en janvier lorsqu'un utilisateur du même forum de piratage a fait la promotion d’un bot automatisé qui pourrait fournir des numéros de téléphone à des centaines de millions d'utilisateurs de Facebook et qu’il était disposé à vendre. Les médias qui ont signalé l'existence de ce bot à ce moment ont vérifié que les données étaient authentiques. Voici ce qu'il expliquait en janvier 2021 :

« Début 2020, une vulnérabilité permettant de voir le numéro de téléphone lié à chaque compte Facebook a été exploitée, créant une base de données contenant les informations de 533 millions d'utilisateurs dans tous les pays. Elle a été gravement sous-déclarée et aujourd'hui, la base de données est devenue beaucoup plus inquiétante.

« Il y a quelques jours, un utilisateur a créé un robot Telegram permettant aux utilisateurs d'interroger la base de données pour un prix modique, permettant aux gens de trouver les numéros de téléphone liés à une très grande partie des comptes Facebook. Cela a évidemment un impact énorme sur la vie privée ».

Désormais, l'ensemble de données a été publié gratuitement sur le forum de piratage, ce qui le rend largement accessible à toute personne ayant des compétences rudimentaires en matière de données.

« Les 533 000 000 enregistrements Facebook ont été divulgués gratuitement. Cela signifie que si vous avez un compte Facebook, il est fort probable que le numéro de téléphone utilisé pour le compte ait été divulgué. Je n'ai pas encore vu Facebook reconnaître cette négligence absolue de vos données », a prévenu Alon Gal.

Gal a déclaré que, du point de vue de la sécurité, Facebook ne pouvait pas faire grand-chose pour aider les utilisateurs touchés par la violation puisque leurs données sont déjà à découvert, mais il a ajouté que Facebook pourrait informer les utilisateurs afin qu'ils puissent rester vigilants face à d'éventuels programmes de phishing ou fraude en utilisant leurs données personnelles.

« Les personnes qui s'inscrivent à une entreprise réputée comme Facebook leur font confiance avec leurs données et Facebook [est] censé traiter les données avec le plus grand respect », a déclaré Gal. « Les utilisateurs qui voient leurs informations personnelles divulguées constituent un énorme abus de confiance et doivent être traités en conséquence ».

Des fuites de données qui se multiplient

Ce n'est pas la première fois qu'un grand nombre de numéros de téléphone d'utilisateurs de Facebook sont découverts en ligne. En décembre 2019, le chercheur en sécurité Bob Diachenko a découvert une base de données non sécurisée contenant plus de 267 millions d'identifiants, de numéros de téléphone et de noms d'utilisateurs Facebook. La base de données n'était pas protégée par un mot de passe ou toute autre mesure de protection. Avant que l’accès à la base de données ne soit supprimé, les informations qu’elle contenait avaient été rendues publiques pendant près de deux semaines.

En septembre 2018, Facebook a révélé que près de 50 millions de comptes Facebook ont été compromis par une attaque qui a permis aux pirates de prendre le contrôle des comptes des utilisateurs. Le réseau social a précisé que la faille a été découverte par ses ingénieurs le mardi 25 septembre. Jeudi, un correctif était déjà disponible. Bien entendu, Facebook a assuré que les utilisateurs dont les comptes ont été affectés seraient notifiés. Plus tard, Facebook a estimé que la faille concernait environ 90 millions de comptes vulnérables à trois bogues liés à la fonctionnalité « Aperçu en tant que ».

« Je suis content que nous ayons trouvé cela et corrigé la vulnérabilité », a déclaré Mark Zuckerberg lors d’une conférence téléphonique avec des journalistes. « Mais c'est un problème que cela s'est produit en premier lieu. Je pense que cela souligne les attaques auxquelles notre communauté et nos services sont confrontés ».

Pourtant, les documents juridiques fournis lors d'un procès intenté contre Facebook ont montré que l’entreprise avait été avertie à maintes reprises par ses propres employés ainsi que par des personnes extérieures d’une faille qui pouvait être massivement exploitée par des pirates. Neuf mois avant la survenue du piratage en septembre 2018, des employés de Facebook ont interpellé leurs responsables, mais leurs alertes sont restées lettre morte. Facebook avait à plusieurs reprises omis de répondre de manière adéquate aux préoccupations soulevées dès décembre 2017 par ses propres ingénieurs qui craignaient que les jetons d’accès soient « faciles » à exploiter par les criminels. C’est pourquoi lorsque l’incident est survenu, certains employés ont commencé à parler de leur sentiment de « culpabilité » et de leur « souffrance », car ils savaient que l’attaque « aurait pu être évitée ».

Tout cela sans compter la campagne de manipulation orchestrée par l’entreprise Cambridge Analytica, une société spécialisée dans l’analyse de données (data mining), qui a permis de faire du profilage sur 87 millions de comptes pour manipuler l'opinion publique durant la campagne présidentielle américaine et durant le référendum relatif au Brexit en Angleterre.

Sources : Alon Gal, liste complète des pays affectés par la vulnérabilité

Et vous ?

Quelle lecture faites-vous de la situation ?

[Jipété]

Et vous ?

Quelle lecture faites-vous de la situation ?

Que si on en croit le lien de la seconde source, c'est un vieux truc de bientôt deux ans...

[Pierre Louis Chevalier]

Ce qui est nouveau c'est la mise en ligne gratuite de cette base de données, donc ca va porter plus de préjudices aux concernés (spam, robocall, usurpations, etc).
Tous le monde n'a pas changé son tel ou son email depuis ce temps et a cause de ça...
Ca veux dire qu'une société de marketing peut aspirer tous ces numéros ou ces emails, bon c'est pas légal mais certains ne vont pas se gêner.
Je suis régulièrement abonné de force à des publicités par email alors que j'ai rien sollicité, et certaines des ces publicités par email n'ont même pas de lien de désabonnement, y compris de sociétés basées en France et ayant pignon sur rue, mais que fait la CNIL ?
Pareil pour les tels, je suis appelé par des sociétés à qui ne j'ai pas donné mon tel, alors que je ne suis sur aucun annuaire, d'où elle ont pris mon tel, et de quel droit elles osent me déranger ?
Donc on a deux problèmes : les sociétés qui se font pirater leurs infos, comme Facebook, et les sociétés de marketing qui reprennent illégalement ces infos pour nous spammer, dans les deux cas c'est une honte, et la CNIL n'à pas l'air de faire grand chose, à part sanctionner au hasard une société de temps en temps d'un montant souvent pas assez dissuasif, et le plus gros continue à gérer leur business illégal en toute impunité.

[tanaka59]

Bonsoir,

Quelle lecture faites-vous de la situation ?

En septembre 2020 on été à 465 millions , si si , retrouvez l'article vous verrez . On fait +/- 80/90 millions ?

Trêve de plaisanterie, c'est à croire a qui aura la plus grosse, pour exposer le plus de numéros de téléphones ou de mails ... . Les divulgations de la sorte sont tout simplement scandaleuses ... et inarrêtable à moins d'utiliser des systèmes de filtres.

[jefresi]

Perso, il y a des filtres sur les serveurs des FAI et des filtres dans le gestionnaire de mail des machines et malgré tout, les pourriels de toutes sortes passent. Reste l'intelligence humaine... faillible !

[Stéphane le calme]

Le numéro de téléphone de Mark Zuckerberg indique que le patron de Facebook utilise Signal
Son numéro faisait partie des données divulguées de 533 millions d'utilisateurs Facebook

Le PDG de Facebook, Mark Zuckerberg, utilise l'application Signal. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées de 533 millions d'utilisateurs de Facebook. Outre son numéro de contact, des données telles que son nom, son emplacement, les détails de son mariage, sa date de naissance et son identifiant Facebook ont également été divulguées, selon un rapport en ligne.

Un utilisateur d'un forum de piratage a publié samedi les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook gratuitement en ligne.

Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019.

Dave Walker, un chercheur en sécurité, a révélé que Zuckerberg utilise Signal, information qu’il a obtenu grâce au numéro de téléphone du numéro un de Facebook qui figurait parmi les données divulguées. C'est le numéro associé à son compte de la récente fuite sur Facebook », a publié l'expert en sécurité sur Twitter avec une capture d'écran du numéro de téléphone de Zuckerberg qui disait : « Mark Zuckerberg est sur Signal. »

« Dans une autre tournure des événements, Mark Zuckerberg respecte également sa propre vie privée, en utilisant une application de chat dotée d'un cryptage de bout en bout et n'appartenant pas à @facebook. Il s'agit du numéro associé à son compte issu de la récente fuite Facebook ».

La nouvelle arrive à un moment où de nombreux utilisateurs indignés par la nouvelle politique de confidentialité de WhatsApp, propriété de Facebook, se tournent vers des alternatives apparemment plus sûres comme Signal. Les nouvelles conditions de service controversées de WhatsApp devraient entrer en vigueur à partir de mai 2021. La politique de confidentialité mise à jour change la façon dont Facebook peut accéder aux discussions des utilisateurs avec des comptes professionnels.

Les cofondateurs de Facebook Chris Hughes et Dustin Moskovitz faisaient également partie des utilisateurs Facebook concernés dont les données ont été divulguées. Walker a noté que la violation de données incluait également le contact du PDG de Facebook, Mark Zuckerberg, parmi les 533 millions d'autres. « En ce qui concerne la fuite Facebook des 533 millions de personnes, l'ironie est que Mark Zuckerberg est malheureusement également inclus dans la fuite. Si les journalistes ont du mal à obtenir une déclaration de @facebook, peut-être peuvent-ils lui donner un coup de fil ? », a-t-il ironisé sur Twitter.

Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock, qui a évoqué les données divulguées en ligne samedi.

« Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des mauvais acteurs profitant des données pour effectuer des attaques d'ingénierie sociale [ou] des tentatives de piratage », a déclaré Gal.

Gal a découvert les données divulguées pour la première fois en janvier lorsqu'un utilisateur du même forum de piratage a fait la promotion d’un bot automatisé qui pourrait fournir des numéros de téléphone à des centaines de millions d'utilisateurs de Facebook et qu’il était disposé à vendre. Les médias qui ont signalé l'existence de ce bot à ce moment ont vérifié que les données étaient authentiques. Voici ce qu'il expliquait en janvier 2021 :

« Début 2020, une vulnérabilité permettant de voir le numéro de téléphone lié à chaque compte Facebook a été exploitée, créant une base de données contenant les informations de 533 millions d'utilisateurs dans tous les pays. Elle a été gravement sous-déclarée et aujourd'hui, la base de données est devenue beaucoup plus inquiétante.

« Il y a quelques jours, un utilisateur a créé un robot Telegram permettant aux utilisateurs d'interroger la base de données pour un prix modique, permettant aux gens de trouver les numéros de téléphone liés à une très grande partie des comptes Facebook. Cela a évidemment un impact énorme sur la vie privée ».

Désormais, l'ensemble de données a été publié gratuitement sur le forum de piratage, ce qui le rend largement accessible à toute personne ayant des compétences rudimentaires en matière de données.

« Les 533 000 000 enregistrements Facebook ont été divulgués gratuitement. Cela signifie que si vous avez un compte Facebook, il est fort probable que le numéro de téléphone utilisé pour le compte ait été divulgué. Je n'ai pas encore vu Facebook reconnaître cette négligence absolue de vos données », a prévenu Alon Gal.

Gal a déclaré que, du point de vue de la sécurité, Facebook ne pouvait pas faire grand-chose pour aider les utilisateurs touchés par la violation puisque leurs données sont déjà à découvert, mais il a ajouté que Facebook pourrait informer les utilisateurs afin qu'ils puissent rester vigilants face à d'éventuels programmes de phishing ou fraude en utilisant leurs données personnelles.

« Les personnes qui s'inscrivent à une entreprise réputée comme Facebook leur font confiance avec leurs données et Facebook [est] censé traiter les données avec le plus grand respect », a déclaré Gal. « Les utilisateurs qui voient leurs informations personnelles divulguées constituent un énorme abus de confiance et doivent être traités en conséquence ».

Source : Dave Walker

Et vous ?

Quelle lecture faites-vous de la situation ?

[Mingolito]

Donc si j'ai bien compris il s'est doublement ridiculisé, d'une part en faisant parti du lot de ceux qui se sont fait pirater leurs données via son appli passoire, et d'autre part en se faisant prendre la main dans le sac en utilisant un produit de la concurrence qu'il avait par le passé critiqué publiquement ?

[ormond94470]

Donc si j'ai bien compris il s'est doublement ridiculisé, d'une part en faisant parti du lot de ceux qui se sont fait pirater leurs données via son appli passoire, et d'autre part en se faisant prendre la main dans le sac en utilisant un produit de la concurrence qu'il avait par le passé critiqué publiquement ?

Son profil est comme celui d'un autre, ça la fou mal pour Facebook surtout, et il a pu s'inscrire sur signal pour tester la concurrence, critiquer un produit qu'on n'a pas utilisé serait ridicule pour le coup. Cela ne veut pas dire qu'il l'utilise quotidiennement.

[tanaka59]

Bonsoir,

Quelle lecture faites-vous de la situation ?

C'est kafkaïen pour le PDG de Facebook .

A voir les screens shoot on sait donc que :

Le numéro commence par l'indicatif 650 (San Francisco)
Aux USA les numéros on se format (AAA-BBB-CCCC), le premier B est un 6
On sait que le numéro est un mobile .

Trouvez moi BB-CCCC , vous avez deux heures

[Magical Unicorn]

Bonsoir,



C'est kafkaïen pour le PDG de Facebook .

A voir les screens shoot on sait donc que :

Le numéro commence par l'indicatif 650 (San Francisco)
Aux USA les numéros on se format (AAA-BBB-CCCC), le premier B est un 6
On sait que le numéro est un mobile .

Trouvez moi BB-CCCC , vous avez deux heures

Voici, BB-CCCC: 44-7386, tu lui passeras le bonjour de ma part .

[Stan Adkens]

Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données,
Ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone

Des quantités de données personnelles, dont des numéros de téléphone, obtenues à partir de 533 millions de comptes Facebook par l'utilisation abusive d'une fonctionnalité avant 2019 ont été proposées gratuitement à tous sur un forum consacré au piratage ce week-end. Facebook Inc n'avait pas notifié ces utilisateurs à l’époque et n'a pas actuellement l'intention de le faire, selon un porte-parole de l'entreprise. Au lieu de cela, Facebook dit que cette fuite est une vieille histoire, et son billet de mardi semble faire peser sur les utilisateurs la responsabilité de protéger les données que Facebook lui-même demandait aux utilisateurs de remettre au nom de la "sécurité".

La base de données librement échangée en ligne comprend des numéros de téléphone, des adresses électroniques, des dates de naissance, le nom des personnes, leur état civil, leur profession et leur localisation. Le déversement des données en ligne a été signalé par Alon Gal, cofondateur et directeur technique de la startup de sécurité informatique Hudson Rock. L'ensemble de ces données représente plus de 70 Go, selon des rapports. Le prix de la base de données aurait baissé, et elle est désormais gratuite.

Mais Facebook tient à faire abstraction de cette affaire. Il nous dit que le vol de données a fait la une des journaux en 2019 et que la faille de sécurité exploitée a été comblée la même année. Dans un billet de blog publié mardi, Facebook a déclaré que des « acteurs malveillants » avaient obtenu ces données avant septembre 2019, « non pas en piratant nos systèmes », mais en « grattant » des profils en utilisant une vulnérabilité dans l'outil de synchronisation des contacts de la plateforme.

Nous pensons que les données en question ont été grattées à partir des profils Facebook des personnes par des acteurs malveillants utilisant notre importateur de contacts avant septembre 2019. Cette fonctionnalité a été conçue pour aider les gens à trouver facilement leurs amis avec lesquels se connecter sur nos services en utilisant leurs listes de contacts.

Lorsque nous avons pris conscience de la façon dont les acteurs malveillants utilisaient cette fonctionnalité en 2019, nous avons apporté des modifications à l'importateur de contacts. Dans ce cas, nous l'avons mis à jour pour empêcher les acteurs malveillants d'utiliser un logiciel pour imiter notre application et télécharger un grand ensemble de numéros de téléphone pour voir lesquels correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils étaient en mesure d'interroger un ensemble de profils d'utilisateurs et d'obtenir un ensemble limité d'informations sur ces utilisateurs inclus dans leurs profils publics.

Les utilisateurs touchés par la fuite de données ne sont pas tenus informés jusqu’à présent

Le porte-parole de Facebook a déclaré que la société de médias sociaux n'était pas sûre d'avoir une visibilité totale sur les utilisateurs qui devraient être notifiés. Il a ajouté que l'entreprise avait également tenu compte du fait que les utilisateurs ne pouvaient pas résoudre le problème et que les données étaient accessibles au public pour décider de ne pas informer les utilisateurs. Selon Facebook, les informations extraites ne comprenaient pas d'informations financières, d'informations sur la santé ou de mots de passe, et qu’il a colmaté la brèche après avoir identifié le problème à l'époque.

Mais cela ne change rien au fait que les informations volées circulent en ligne depuis près de trois ans et que, même si tout s'est passé en 2019, il est peu probable que les noms, dates de naissance, coordonnées et autres données aient changé pendant ce temps. Au lieu de cela, il est probable que les données soient encore largement utiles à être exploitées pour les fraudeurs - en supposant que la grande majorité des utilisateurs ont mis les bonnes informations sur leurs profils et non de fausses infos juste au cas où ce genre de vol se produirait.

La fonction d'importation de contacts permet aux nouveaux utilisateurs de télécharger leurs listes de contacts et de les comparer aux numéros stockés dans les profils des personnes. Mais comme la plupart des meilleures fonctionnalités de Facebook, la société ne l'a pas assez sécurisée au grand bonheur des pirates.

Mais, au lieu de reconnaître son dernier échec en matière de protection des données des utilisateurs, Facebook a fait comme en 2018 lors du scandale Cambridge Analytica qui a impliqué les données de 87 millions d'utilisateurs, en tentant de recadrer la défaillance de sécurité comme une simple violation de ses conditions de service. Ainsi, au lieu de s'excuser de ne pas avoir réussi à sécuriser les données des utilisateurs ou d’avoir omis d’informer les utilisateurs, le directeur de la gestion des produits de Facebook, Mike Clark, a commencé son billet de blog en faisant un point sémantique sur la façon dont les données ont été divulguées.

« Il est important de comprendre que des acteurs malveillants ont obtenu ces données non pas en piratant nos systèmes, mais en les raclant de notre plateforme avant septembre 2019 », a écrit Clark.

Gal, qui a signalé la première fois la divulgation des données personnelles, a déclaré : « Premièrement, j'aimerais que Facebook reconnaisse la fuite et l'importance de celle-ci. Deuxièmement, ils devraient alerter tous les utilisateurs que cela s'est produit et que les utilisateurs soient attentifs aux attaques imminentes d'ingénierie sociale et de piratage. Enfin, je pense que Facebook devrait faire changer les identifiants Facebook pour empêcher les mauvais acteurs de relier les numéros de téléphone aux profils Facebook par le biais de la fuite comme cela peut être fait actuellement, ce n'est qu'un petit pas, mais un pas crucial ».

Le billet de blog de Clark ne dit pas quand le "scraping" a eu lieu ni combien de fois la vulnérabilité a été exploitée. Clark a également omis de mentionner que Facebook a été informé de cette vulnérabilité dès 2017, lorsque Inti De Ceukelaire, un hacker éthique belge, a divulgué le problème à l'entreprise, selon un tweet.

Ce serait de votre faute si des pirates ont obtenu vos données personnelles

Dans son billet, le directeur de la gestion des produits de Facebook semble faire peser sur les utilisateurs la responsabilité de protéger les données que Facebook lui-même demandait aux utilisateurs de remettre au nom de la "sécurité". En effet, Facebook collecte les numéros de téléphone des utilisateurs depuis une décennie, en prétendant initialement que cela faisait partie des protocoles de sécurité de la plateforme. Mais en réalité, Facebook utilisait simplement ces données pour l'aider à vendre plus de publicités et à cibler plus d'utilisateurs - une violation de la confiance des utilisateurs que la Federal Trade Commission (FTC) a décidé de sanctionner par une amende de 5 milliards de dollars en 2019. Facebook a dit dans son billet :

Bien que nous ayons réglé le problème identifié en 2019, il est toujours bon pour tout le monde de s'assurer que leurs paramètres s'alignent sur ce qu'ils veulent partager publiquement. Dans ce cas, la mise à jour du contrôle "Comment les gens vous trouvent et vous contactent" pourrait être utile. Nous recommandons également aux gens de faire des vérifications régulières de la confidentialité pour s'assurer que leurs paramètres sont au bon endroit, y compris qui peut voir certaines informations sur leur profil et activer l'authentification à deux facteurs.

Faire des vérifications régulières pour tenir sécuriser leurs propres informations est une chose difficile pour la plupart des utilisateurs du plus grand des réseaux sociaux, surtout si l'on considère à quel point les menus de paramètres de l'entreprise peuvent être byzantins et complexes.

Dans son communiqué, l'entreprise n'a pas également expliqué pourquoi un certain nombre d'utilisateurs qui ont supprimé leurs comptes bien avant 2018 ont vu leurs numéros de téléphone apparaître dans cette base de données accessible par tous.

Bien que Facebook tente de minimiser la gravité de la fuite, ce n'est pas à l'entreprise seule qu'il revient de décider de la gravité de la situation. La Commission irlandaise de protection des données, le principal régulateur de l'Union européenne pour Facebook qui a le pouvoir d'infliger une amende pouvant atteindre 4 % du chiffre d'affaires mondial, a déclaré mardi qu'elle avait contacté l'entreprise au sujet de la fuite de données.

« Le CPD a tenté pendant le week-end d'établir l'ensemble des faits et continue de le faire. Il n'a reçu aucune communication proactive de la part de Facebook. Par le biais d'un certain nombre de canaux, elle a cherché à entrer en contact avec Facebook et à obtenir des réponses », a déclaré un porte-parole dans un communiqué publié mardi.

La violation de données est probablement couverte par les nouvelles règles strictes de l'Europe en matière de protection de la vie privée, connues sous le nom de Règlement général sur la protection des données (RGPD), qui sont entrées en vigueur en mai 2018. Les attaquants avaient la possibilité de collecter des données auprès de Facebook jusqu'au 5 juin 2019 au moins, selon les experts qui ont analysé la fuite.

Facebook pourrait également avoir des ennuis aux États-Unis pour avoir omis de signaler la violation de données au moment où elle s'est produite. Le règlement de la FTC de juillet 2019 oblige Facebook à communiquer les détails concernant l'accès non autorisé aux données de 500 utilisateurs ou plus dans les 30 jours suivant la confirmation d'un incident.

Si Facebook ne tient pas à informer le demi-milliard d'utilisateurs touchés par la fuite, il existe un moyen plus pratique d'obtenir de l'aide. Troy Hunt, consultant en cybersécurité et fondateur de "Have I Been Pwned", a téléchargé l'intégralité de la base de données ayant fait l'objet de la fuite sur son site Web, qui permet à chacun de vérifier si son numéro de téléphone y figure.

Sur son blog, Hunt explique avoir constaté un pic de trafic sans précédent depuis l'annonce de la fuite de 533 millions de numéros de téléphone (dont près de 20 millions de Français, soit environ la moitié des utilisateurs de l’Hexagone). Il est revenu sur la proposition qui lui avait été faite, il y a 5 ans et demi, de permettre une recherche à partir d'un numéro de téléphone compromis, et pas seulement à partir d'une adresse email, comme c'était le cas jusqu'à lors.

« Aujourd'hui j'ai jeté un coup d'œil sur haveibeenpwned, et il semble que je fasse partie de ceux dont les données ont fuité. Après avoir relu tous les événements de cette brèche, il semble que l'exploit ait été corrigé en août 2019 (comme l'affirme Facebook). J'avais supprimé mon compte environ 2 ans avant cela. Soit ces attaquants ont eu accès pendant plus de 2 ans, soit Facebook n'a pas supprimé mes données, et probablement celles de tout le monde non plus. Que peut faire une personne, ou peut-être toutes les personnes concernées, dans ce scénario ? », s’est interrogé un commentateur impliqué dans la fuite de données. Et vous, êtes-vous concernés vous aussi ?

Sources : Facebook, Tweets (1 & 2)

Et vous ?

Qu’en pensez-vous ?
Avez-vous vérifié sur haveibeenpwned ? Vos données sont-elles concernées par la fuite ?
Que peut faire un utilisateur dont les informations personnelles sont contenues dans les données divulguées ?

Voir aussi :

La FTC inflige une amende de 5 milliards de dollars à Facebook, et apporte des clauses qui "réduisent considérablement le pouvoir de Mark Zuckerberg"
Facebook aurait trompé ses utilisateurs sur la façon dont il utilisait leurs numéros de téléphone et son outil de reconnaissance faciale, selon la FTC
533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France
Scandale CA : Facebook estime à plus de 87 millions les comptes concernés par le profilage, et annonce des mesures pour mieux protéger les données

[emilie77]

Existe quelqu'un, une commission internationale, qui entre dans le db de facebook pour verifier qu'ils effacent les données?
Si un de mes amis a mon numero sur son smartphone et sincronise avec messenger/whatsapp, facebook a aussi mon numero? Il le enregistre quelque part?

[Kayzenne]

Qu’en pensez-vous ?

C'est hallucinant de constater que même à l'echelle de Facebook, ce genre d'incident est encore trop commun.

Avez-vous vérifié sur haveibeenpwned ? Vos données sont-elles concernées par la fuite ?

Je viens de vérifier et oui... Or je tiens à préciser que mon numéro de téléphone n'a été "public" (seulement mes amis) durant une courte période entre 2012 et 2015. Depuis tous mes paramètres de confidentialité sont au maximum.
Plusieurs éléments relevés concernant la suppression des données et la communication de FaceBook par rapport à ces failles sont une fois de plus à remettre en question.
En espérant que la justice fasse son travail.

[tanaka59]

Bonjour,

Et vous, êtes-vous concernés vous aussi ?

Non pas dans ce piratage massif . Je n'utilise plus mon numéro de gsm depuis 2018 sur Facebook, idem je ne partage pas mon carnet de contacts ...

Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone

Qu’en pensez-vous ?

Que c'est tout simplement scandaleux et dégueulasse

A suive la logique de Facebook, une entreprise a qui on utiliserait un service a mauvaise escient , la faute incombe à l'utilisateur qui se retrouve "dindon" de la farce

Bien non ... Ce n'est pas comme cela que ça marche . Toute donnée obtenue de manière illicite ou en exploitant une brèche est un piratage ! Donc Facebook est pleinement responsable de négligence

Avez-vous vérifié sur haveibeenpwned ?

oui

Code indicatif telephonique :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Pour infos ceux qui veulent savoir si ils sont dans le lot :

Faire : [+][indicatif pays][le numéro de téléphone avec ou sans le premier chiffre, si celui ci doit être tronqué]

Exemple +324XXXXXXXX , +336XXXXXXXX , +337XXXXXXXX , +417XXXXXXXX , +3526XXXXXXXX ...

Vos données sont-elles concernées par la fuite ?

Non

Que peut faire un utilisateur dont les informations personnelles sont contenues dans les données divulguées ?

Être encore plus vigilant sur le numéro de ligne impactée
Mettre un antispam (pour appel et sms / mms)
Dans certains cas changer de numéro de gsm ou dédoubler par une autre ligne pour tout ce qui ne relève pas de " l'administratif "

Existe quelqu'un, une commission internationale, qui entre dans le db de facebook pour verifier qu'ils effacent les données ?

A part les autorités judiciaire de chaque juridiction (soit autant qu'il y a de pays ...), je ne vois pas d'instance internationale. Même l'OMS ne semble pas avoir de "division" informatique internationale. En gros un truc à l'image de l'OMS, ou de l'UNESCO

Si un de mes amis a mon numero sur son smartphone et sincronise avec messenger/whatsapp, facebook a aussi mon numero? Il le enregistre quelque part?

C'est possible , si votre contact partage son carnet de contact virtuel avec l'entreprise web ... C'est d'ailleurs l'un des sujets brulants de What's app . Rendre obligatoire le partage de contact sous peine de se faire éjecter.

C'est hallucinant de constater que même à l'echelle de Facebook, ce genre d'incident est encore trop commun.

J’espère que le rouleau compresseur judiciaire va se mettre en marche . Une belle amende de 2 ou 3 chiffres , en milliards, histoire de faire un bonne piqure de rappel ... Mieux condamner Facebook a contacter chaque user impacté en envoyant un sms. Cela va faire un sacré paquet de SMS à envoyer !

Je viens de vérifier et oui... Or je tiens à préciser que mon numéro de téléphone n'a été "public" (seulement mes amis) durant une courte période entre 2012 et 2015. Depuis tous mes paramètres de confidentialité sont au maximum.
Plusieurs éléments relevés concernant la suppression des données et la communication de FaceBook par rapport à ces failles sont une fois de plus à remettre en question.
En espérant que la justice fasse son travail.

La clairement il y a eu de la magouille. Je pencherai plus pour un presta verreux et peu scrupuleux qui a camouflé un siphonnage de masse . Genre un presta Asiatique (Malaisie, Philippines, Thailand, Vietnam, Laos, Cambodge, Indonesie ...) C'est souvent dans ces pays d'Asie que le trfic de data a lieu. Des entreprises US y sous traitent et on connait le résultat.

Un peu comme les nombreux pays latins européens (PT,ES,FR, IT,BE ...) qui sous traitent les call center en Afrique et quelques mois après on a droit à des campagnes d'appels massives et malveillantes ... Des personnes peu scrupuleuses se servent ou copient la data au passage pour faire commettre de la fraude par téléphone, mail ... et j'en passe.

Mais Facebook [...] la faille de sécurité exploitée a été comblée [...]

[...] Facebook a déclaré que des « acteurs malveillants » avaient obtenu [...] « non pas en piratant nos systèmes »[...] en « grattant » [...]

> Plus communément appelée une faille

Et Facebook ose encore le reconnaitre publiquement ?

> Également la publication de données perso dans un annuaire sans le consentement des personnes ...

[petitours]

Avez-vous vérifié sur haveibeenpwned ? Vos données sont-elles concernées par la fuite ?

ça ne vous dérange pas de filer des infos à un tel site ?

Je vous propose havemycreditCardOk.com demain si vous voulez, uniquement pour la bonne cause c'est promis.

Plus c'est grossier, plus ça passe comme Facebook pratique depuis le départ.

[Bruno]

L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts,
elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires

La Commission irlandaise de la protection des données (DPC) a annoncé qu’elle avait ouvert une enquête pour déterminer si Facebook a violé les règles de protection des données, dans le cadre de la fuite qui aurait exposé les données personnelles d'environ 533 millions d'utilisateurs au début du mois. L'autorité irlandaise de protection de la vie privée estime que cette fuite pourrait constituer une violation du règlement général sur la protection des données (RGPD) de l'UE. Si le régulateur irlandais déclare Facebook coupable, la société pourrait se voir infliger une sanction financière pouvant aller jusqu'à 4 % de son chiffre d'affaires mondial.

Le régulateur serait entré en contact avec Facebook Ireland et aurait soulevé des questions relatives à la conformité au RGPD. « La Commission estime qu'il convient de déterminer si Facebook Ireland a respecté ses obligations, en tant que responsable du traitement des données, en ce qui concerne le traitement des données à caractère personnel de ses utilisateurs au moyen des fonctionnalités Facebook Search, Facebook Messenger, Contact et Instagram », a déclaré le régulateur.

En effet, un membre d'un forum de piratage a publié le 3 avril les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook. Les données exposées comprennent les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il comprend leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019. Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock. « Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des cybercriminels profitant des données pour effectuer des attaques d'ingénierie sociale ou des tentatives de piratage », a déclaré Gal.

La fuite de données a permis de constater que Mark Zuckerberg, le PDG de Facebook, utilise l'application Signal. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées. Outre son numéro de contact, des données telles que son nom, son emplacement, les détails de son mariage, sa date de naissance et son identifiant Facebook ont également été divulgués, selon un rapport en ligne. Dave Walker, un chercheur en sécurité, a révélé que Zuckerberg utilise Signal, information qu’il a obtenu grâce au numéro de téléphone du Zuckerberg qui figurait parmi les données divulguées. C'est le numéro associé à son compte de la récente fuite sur Facebook », a publié l'expert en sécurité sur Twitter avec une capture d'écran du numéro de téléphone de Zuckerberg qui disait : « Mark Zuckerberg est sur Signal. »

Dans le cadre de la fuite du 3 avril, Facebook n'a pas informé son principal organisme de surveillance des données de l'UE lorsqu'il a découvert et corrigé le problème. La Commission irlandaise de la protection des données (DPC) l’aurait appris par la presse, comme tout le monde. Facebook n'a pas non plus informé individuellement les plus de 533 millions et n'aurait pas actuellement l'intention de le faire, selon un porte-parole de l'entreprise. Au lieu de cela, Facebook dit que cette fuite est une vieille histoire, et dans un billet de blog, l’entreprise semble faire peser sur les utilisateurs la responsabilité de protéger les données que Facebook lui-même demandait aux utilisateurs de remettre au nom de la "sécurité".

« Nous pensons que les données en question proviennent des profils Facebook. Les cybercriminels ont utilisé notre importateur de contacts avant septembre 2019. Cette fonctionnalité a été conçue pour aider les gens à trouver facilement leurs amis avec lesquels se connecter sur nos services en utilisant leurs listes de contacts. Lorsque nous avons pris conscience de la façon dont les acteurs malveillants utilisaient cette fonctionnalité en 2019, nous avons apporté des modifications à l'importateur de contacts », a déclaré Facebook.

« Nous l'avons mis à jour pour empêcher les cybercriminels d'utiliser un logiciel pour imiter notre application et télécharger un grand ensemble de numéros de téléphone pour voir lesquels correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils étaient en mesure d'interroger un ensemble de profils d'utilisateurs et d'obtenir un ensemble limité d'informations sur ces utilisateurs inclus dans leurs profils publics », a ajouté l’entreprise.

Pour certains internautes, la présence du PDG de Facebook sur Signal application rivale à WhatsApp indique que « Mark Zuckerberg respecte également sa propre vie privée, en utilisant une application de chat dotée d'un chiffrement de bout en bout et n'appartenant pas à Facebook. Il s'agit du numéro associé à son compte issu de la récente fuite Facebook ». La nouvelle arrive à un moment où de nombreux utilisateurs indignés par la nouvelle politique de confidentialité de WhatsApp, propriété de Facebook, se tournent vers des alternatives apparemment plus fiables comme Signal. La politique de confidentialité mise à jour change la façon dont Facebook peut accéder aux discussions des utilisateurs avec des comptes professionnels. Les nouvelles conditions de service controversées de WhatsApp devraient entrer en vigueur le 15 mai 2021.

Le commissaire à la protection des données et à la liberté d'information de Hambourg a d’ailleurs ouvert une procédure d'urgence contre Facebook dans le cadre de ces nouvelles conditions d'utilisation de WhatsApp, l'intérêt étant de parvenir à une décision avant le 15 mai, date à laquelle les utilisateurs doivent accepter la nouvelle politique de confidentialité ou cesser d'utiliser WhatsApp. « Le commissaire à la protection des données et à la liberté d'information de Hambourg (HMBBFDI) a ouvert une procédure contre Facebook Ireland, dans le but d'émettre une ordonnance immédiatement exécutoire, dont le contenu est de ne pas collecter les données des utilisateurs de WhatsApp et de les traiter à ses propres fins. Facebook aura d'abord l'occasion de faire des commentaires lors d'une audience », a déclaré l’organisation sur son site web le 13 avril.

« Il est important de comprendre que des acteurs malveillants ont obtenu ces données non pas en piratant nos systèmes, mais en les raclant de notre plateforme avant septembre 2019 », a écrit Clark. Gal, qui a signalé la première fois la divulgation des données personnelles, a déclaré : « premièrement, j'aimerais que Facebook reconnaisse la fuite et l'importance de celle-ci. Deuxièmement, ils devraient alerter tous les utilisateurs que cela s'est produit et que les utilisateurs soient attentifs aux attaques imminentes d'ingénierie sociale et de piratage. Enfin, je pense que Facebook devrait faire changer les identifiants Facebook pour empêcher les mauvais acteurs de relier les numéros de téléphone aux profils Facebook par le biais de la fuite comme cela peut être fait actuellement, ce n'est qu'un petit pas, mais un pas crucial ».

La commissaire irlandaise à la protection des données, Helen Dixon et le commissaire à la justice, Didier Reynders ont tous deux exhorté Facebook à coopérer rapidement et à partager les informations nécessaires. « Il est crucial de faire la lumière sur cette fuite qui a touché des millions de citoyens européens ». « Il appartient à l'autorité irlandaise de protection des données d'évaluer ce cas. La Commission reste disponible si un soutien est nécessaire. La situation devra également faire l'objet d'une analyse plus approfondie pour l'avenir. Des leçons doivent être tirées », a ajouté Dixon.

Facebook n'aurait jamais fait l'objet d'une sanction réglementaire au titre du GDPR

Les experts en matière de protection de la vie privée n'ont pas tardé à souligner que l'entreprise n'a toujours pas fait l'objet d'une sanction réglementaire au titre du RGPD. Un certain nombre d'enquêtes sont en cours sur diverses activités et pratiques de Facebook et aucune décision n'a encore été rendue dans ces affaires par la Commission irlandaise de la protection des données.

Le mois dernier, le Parlement européen a adopté une résolution sur la mise en œuvre du RGPD qui exprimait une « grande préoccupation » quant au fonctionnement du mécanisme – soulevant une inquiétude particulière concernant l'autorité irlandaise de protection des données en écrivant qu'elle « clôture généralement la plupart des cas par un règlement au lieu d'une sanction et que les cas soumis à l'Irlande en 2018 n'ont même pas atteint le stade d'un projet de décision conformément à l'article 60 ».

Le dernier scandale lié aux données de Facebook accentue encore la pression sur la Commission irlandaise de la protection des données. Ce qui donne du grain à moudre aux détracteurs du GDPR qui affirment que le règlement est inapplicable dans le cadre de la structure d'application actuelle qui traîne les pieds, étant donné les goulots d'étranglement majeurs en Irlande (et au Luxembourg) où de nombreux géants de la technologie choisissent d'installer leur siège régional. Le commissaire à la justice, Didier Reynders, a fait part de son inquiétude concernant la réponse de l'Irlande à la fuite de données de Facebook, en indiquant sur Twitter que la Commission avait été en contact avec la Commission irlandaise de protection des données.

Reynders aurait des raisons de s'inquiéter personnellement. En début de semaine dernière, Politico a rapporté que les données de Reynders figuraient parmi les données divulguées, ainsi que ceux du Premier ministre luxembourgeois Xavier Bettel et de « dizaines de fonctionnaires européens ». Cependant, le problème de la faible application du GDPR affecte tout le monde à travers l'Union européenne. Quelque 446 millions de personnes dont les droits ne sont pas uniformément et vigoureusement défendus. « Une application stricte du RGPD est d'une importance capitale », a également fait remarquer Reynders sur Twitter, invitant Facebook à « coopérer pleinement avec les autorités irlandaises ».

La semaine dernière, la commission italienne de protection des données aurait également demandé à Facebook de proposer immédiatement un service permettant aux utilisateurs italiens de vérifier s'ils ont été affectés par la violation. Mais Facebook n'aurait pas répondu publiquement à cette demande. Selon certains analystes, le mécanisme de guichet unique prévu par le RGPD, donne droit au géant technologique de limiter son exposition à la réglementation en ne traitant directement qu'avec le principal contrôleur des données de l'UE, en Irlande. L'examen du fonctionnement du régime de protection des données auquel la Commission a procédé pendant deux ans, et qui a fait l'objet d'un rapport l'été dernier, a déjà attiré l'attention sur des problèmes d'application inégale.

La question de l'application de la réglementation est donc très urgente, car les législateurs européens se demandent comment les nouvelles règles numériques pourront être appliquées si les règles existantes continuent d'être foulées aux pieds. Et pendant ce temps, les fuites de données continuent : Motherboard a fait état d'une autre fuite alarmante de données Facebook, qu'il a trouvée accessible via un bot sur la plateforme de messagerie Telegram, qui donne les noms et numéros de téléphone des utilisateurs qui ont aimé une page Facebook (en échange d'une rémunération, si la page a eu moins de 100 likes).

La publication indique que ces données semblent être distinctes de l'ensemble de données de plus de 533 millions d'utilisateurs, après avoir effectué des vérifications par rapport à l'ensemble de données plus important via le site de conseils sur les violations, haveibeenpwned. Elle a également demandé à Alon Gal, la personne qui a découvert la fuite de données Facebook susmentionnée proposée au téléchargement gratuit en ligne, de comparer les données obtenues via le robot et il n'a trouvé aucune correspondance.

Déclaration de la Commission irlandaise de la protection des données

« La Commission irlandaise de la protection des données a lancé aujourd'hui une enquête d'autovolonté conformément à l'article 110 de la loi sur la protection des données de 2018 en relation avec de multiples rapports de médias internationaux, qui ont souligné qu'un ensemble de données personnelles d'utilisateurs de Facebook avait été mis à disposition sur Internet. Cet ensemble de données contiendrait des données personnelles relatives à environ 533 millions d'utilisateurs de Facebook dans le monde. La Commission irlandaise de la protection des données s'est entretenue avec Facebook Ireland au sujet de ce problème signalé, soulevant des questions relatives à la conformité au RGPD auxquelles Facebook Ireland a fourni un certain nombre de réponses.

« La Commission irlandaise de la protection des données, après avoir examiné les informations fournies par Facebook Ireland concernant cette affaire, est d'avis qu'une ou plusieurs dispositions du RGPD et/ou de la loi sur la protection des données de 2018 ont pu être, et/ou sont, violées en ce qui concerne les données à caractère personnel des utilisateurs de Facebook. Par conséquent, la Commission estime qu'il convient de déterminer si Facebook Ireland a respecté ses obligations, en tant que responsable du traitement des données, en ce qui concerne le traitement des données à caractère personnel de ses utilisateurs au moyen des fonctionnalités Facebook Search, Facebook Messenger Contact Importer et Instagram Contact Importer, ou si une ou plusieurs dispositions du RGPD et/ou de la loi sur la protection des données de 2018 ont été, et/ou sont, enfreintes par Facebook à cet égard ».

Et vous ?

Quel est votre avis sur cette fuite de données ?

Que pensez-vous de l'attitude de Facebook ?

Quels commentaires faites-vous de l'application du RGPD en Europe ?

Pensez-vous que pour cette fois, Facebook sera reconnue coupable de violation des règles de protection de données ?

Voir aussi :

Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone

Une procédure d'urgence a été ouverte contre Facebook dans le cadre des nouvelles conditions d'utilisation de WhatsApp, l'intérêt est de parvenir à une décision avant le 15 mai

Le numéro de téléphone de Mark Zuckerberg indique qu'il est sur Signal, le patron de Facebook fait partie des 533 millions d'utilisateurs Facebook dont les données ont été divulguées

533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France

[Christian_B]

Je vous propose havemycreditCardOk.com demain si vous voulez, uniquement pour la bonne cause c'est promis.

Excellente idée! si tu le fais, comme j'aime être toujours à la pointe du progrès, je m'inscris tout de suite Euh au fait quels services cela rendrait au juste

Plus sérieusement, les quelques restrictions qui pourraient être mises légalement à l'absence de scrupules et à l'inconséquence de Facebook et autres ne changeront pas grand chose à des truismes comme :
- Si vous voulez que des informations restent confidentielles, ne les mettez pas sur un réseau auquel ont accès potentiellement des milliards d'utilisateurs, que ce soit par achat de données ou par piratage. D'ailleurs, le problème se pose aussi (de manière plus difficile à éviter) sur sa propre machine.
- Ne répondez pas à des sollicitations d'origine incertaine comme la plupart des courriels, sauf attendus de la part de relations personnelles, et encore ils peuvent être contrefaits, il faut toujours vérifier dès qu'il y a un enjeu important ou la moindre bizarrerie.

Mais ce ne sont pas des évidences pour ceux (nombreux) qui n'ont ni une tournure d'esprit très critique ni un minimum de formation de base.
Ils transposent indument sur internet les comportements habituels dans les rapports directs avec les personnes rencontrées "physiquement", que l'on peut identifier facilement et dont on se fait une idée intuitive (quoique pas forcément juste) à partir de nombreux indices (attitude, voix, expression du visage, etc) qui manquent sur internet en général.

L'Éducation Nationale dispense maintenant dans le secondaire des cours d'informatique, mais il s'agit, d'après ce que j'ai vu, uniquement de cours techniques à visée professionnelles.
Je ne vois sur ces questions, ni là ni dans d'autres sources suffisamment large des notions pertinentes pour valoir culture générale partagée. Dans le domaine du bon usage d'internet, c'est un peu comme si beaucoup de gens croyaient encore que la Terre est plate et au centre de l'univers.

[tanaka59]

Bonjour,

Quel est votre avis sur cette fuite de données ?

Comme fuite , ce n'est plus une fuite, c'est carrément un "datawarehouse jacking" ou un "database jacking" . Le ou les pirates ont carrément fait une razia. Je suis étonné que aucun terme n'existe pour qualifier cela ...

Que pensez-vous de l'attitude de Facebook ?

Celle ci commence a m'agacer , car Facebook trouve toujours moyen d'inverser les rôles. Facebook est coupable de négligence . J'irai même plus loin en disant que Facebook a dans ces rangs des personnes verreuses . Qui ont laissé un faille en connaissance de cause.

Quels commentaires faites-vous de l'application du GDPR en Europe ?

40 juridictions différentes, donc 40 applications différentes avec les pays associés. Je n'ose imaginer le foutoir en cas de procédure . Sans parler des pays associés comme la Suisse, l'UK, la Norvège ...

Pensez-vous que pour cette fois, Facebook sera reconnue coupable de violation des règles de protection de données ?

La faute sera porté par un prestataire et Facebook arrivera encore à se disculpé

[Stan Adkens]

« Ce serait tellement cool si tout le monde normalisait ces ennuyeuses fuites de données »,
Dit Facebook dans un mémo qui a fuité

533 millions de comptes, dont l'un appartenait au directeur général Mark Zuckerberg, ont vu leurs informations personnelles exposées sur Internet plus tôt ce mois. Des outils en ligne permettaient à quiconque de vérifier si ses informations, notamment ses numéros de téléphone, avaient été révélées. Facebook, qui n’avait pas informé les utilisateurs touchés par cette fuite, veut maintenant vous faire croire que la récupération des données personnelles des centaines de millions de personnes sur sa plateforme et leur mise en ligne par des personnes malveillantes est une chose à « normaliser ». C’est ce qu’un document interne, envoyé par inadvertance à un journaliste par un agent des relations publiques de Facebook, révèle.

Au début du mois d’avril, des malfaiteurs ont proposé gratuitement à tous sur un forum consacré au piratage 70 Go de noms, de numéros de téléphone, de dates de naissance, d'adresses électroniques et d'autres données provenant des profils Facebook de personnes dans 106 pays, grâce à une faiblesse de sécurité de la plateforme. Après avoir volé les données en 2019, les criminels les ont d’abord achetées et vendues entre eux avant de les partager via un site caché sous Tor, invitant quiconque à venir se servir.

Facebook a déclaré par la suite qu'il ne notifierait pas plus d'un demi-milliard d'utilisateurs de l'incident, un porte-parole affirmant que la société de médias sociaux n'était pas sûre d'avoir une visibilité totale sur les utilisateurs qui devraient être notifiés. Il a également déclaré que l'incapacité des utilisateurs à résoudre le problème, ainsi que la disponibilité publique des données, ont pesé dans la décision.

Le journaliste belge Pieterjan van Leemputten de DataNews a posé quelques questions à l'entreprise de Mark Zuckerberg sur le vol et la mise en ligne de données de comptes au début du mois. Un agent des relations publiques de Facebook a envoyé accidentellement au journaliste une copie d'un document interne détaillant la stratégie du réseau antisocial pour contenir la fuite de 533 millions de comptes. Le mémo, dont le contenu était exaspérant, mais sans surprise, révèle plus de détails. Dans une section intitulée "Stratégie à long terme", Facebook a déclaré :

« En supposant que le volume de la presse continue de diminuer, nous ne prévoyons pas de déclarations supplémentaires sur cette question. À plus long terme, cependant, nous nous attendons à davantage d'incidents de scraping et nous pensons qu'il est important à la fois d'en faire un problème industriel général et de normaliser le fait que cette activité se produit régulièrement.

« Pour ce faire, l'équipe propose un billet de suivi dans les prochaines semaines qui parle plus largement de notre travail anti-scraping et fournit plus de transparence sur le travail que nous faisons dans ce domaine. Bien que cela puisse refléter un volume important d'activité de scraping, nous espérons que cela contribuera à normaliser le fait que cette activité est en cours et évitera les critiques selon lesquelles nous ne sommes pas transparents sur des incidents particuliers ».

Facebook a confirmé à BBC News que le mémo, qui était un résumé de couverture diffusé par l'équipe de relations publiques du site de médias sociaux, était authentique.

« Cela ne devrait surprendre personne que nos documents internes reflètent ce que nous avons dit publiquement. Comme l'ont montré LinkedIn et Clubhouse, le scraping de données est un défi à l'échelle de l'industrie auquel nous nous engageons à nous attaquer et à éduquer les utilisateurs », a déclaré un porte-parole de l'entreprise. « Nous comprenons les inquiétudes des gens, c'est pourquoi nous continuons à renforcer nos systèmes pour rendre plus difficile le scraping de Facebook sans notre permission et pour poursuivre les personnes qui en sont à l'origine ».

L’application de réseau social Clubhouse a, en effet, connu une fuite de données de ses utilisateurs la semaine dernière. Une chercheuse en sécurité et le PDG de Clubhouse ont déclaré que cette fuite était en réalité le résultat d’un scraping de données sur la plateforme. 1,3 million d'enregistrements d'utilisateurs ont été divulgués gratuitement sur un forum de pirates populaire. Seulement toutes les informations concernées par la fuite semblent être des données accessibles au public. LinkedIn a subi le même sort un peu plus tôt avec les données personnelles de 500 millions d'utilisateurs.

La découverte en 2019 de la fuite des données des comptes par Facebook mise en cause

Facebook a déclaré que les données étaient anciennes, provenant d'une fuite précédemment signalée en 2019. Il a nié tout acte répréhensible, affirmant que les données ont été grattées à partir d'informations publiquement disponibles sur le site. Mais il doit maintenant faire face à une enquête du commissaire irlandais aux données pour savoir s'il a enfreint les règles du GDPR, et à une action en justice massive de la part des citoyens de l'UE concernés, qui ont eu une série de données personnelles divulguées, y compris des numéros de téléphone.

L'e-mail publié par le journaliste indique que la couverture médiatique de la question par les "publications mondiales de premier plan" avait déjà diminué de 30 %. Facebook a également noté que la couverture de la fuite en début du mois a été "critique" et serait motivée par les informations fournies par les experts en données et les régulateurs. L'e-mail résume la façon dont l'histoire a été rapportée à ce jour :

« Les publications se sont montrées plus critiques à l'égard de la réponse de Facebook, qu'elles ont qualifiée d'évasive, de détournement de la responsabilité et d'absence d'excuses pour les utilisateurs concernés », a noté la société, ajoutant que les articles étaient souvent motivés par des citations d'« experts en données ou de régulateurs, désireux de critiquer la réponse de l'entreprise comme étant insuffisante ou de présenter l'affirmation de l'entreprise selon laquelle les informations étaient déjà publiques comme trompeuse ». « Les régulateurs s'étant concentrés sur cette question, il faut s'attendre à ce que les critiques continuent à fuser dans la presse », poursuit le communiqué.

Le journaliste belge a également mis en doute l'affirmation de Facebook selon laquelle le problème a été découvert et résolu en août 2019, soulignant que le hacker éthique Inti De Ceukelaire avait averti l'entreprise deux ans plus tôt qu'il était possible de trouver le numéro de téléphone d'une personne via Facebook. Il a écrit dans un post sur Medium en 2017 que l'équipe de sécurité de Facebook a rejeté ses conclusions, affirmant que « cela n'expose pas d'informations supplémentaires sur les utilisateurs qui n'étaient pas déjà publiques ».

Selon De Ceukelaire, le mémo qui a fuité « a révélé ce que nous soupçonnions depuis longtemps, mais maintenant c'est là noir sur blanc – Facebook se soucie plus de sa réputation que d'informer ses utilisateurs ». Il a poursuivi en disant que Facebook avait tenté de « tourner le problème ». « Au début, ils ont été complètement silencieux, puis ils ont donné à la presse une phrase sur le fait que les données étaient anciennes et quand cela n'a pas fonctionné, ils ont commencé à parler de la façon dont il s'agissait de scraping plutôt que du propre système de Facebook ».

De Ceukelaire a ajouté que les données n'étaient pas anciennes, car les numéros de téléphone ne changent généralement pas, et aussi que les paramètres de confidentialité originaux pour les numéros de téléphone étaient extrêmement confus.

Le courriel complet de l’agent des relations publiques de Facebook note également que l'équipe juridique et politique de Facebook « travaille sur les réponses au grand nombre de demandes réglementaires que nous avons reçues dans le monde entier » et que Facebook souhaite « coordonner comment et quand nous répondons à ces questions ».

Sur une page d’aide, dont Facebook fait la promotion, le géant des réseaux sociaux tente de s’adresser aux utilisateurs sous un autre ton, après avoir montré son intention de ne pas informer les personnes touchées par la divulgation de données personnelles. Toutefois, Facebook dit qu’il ne peut pas empêcher la réapparition de ce type d’informations à l’avenir.

« La confidentialité est importante pour Facebook et nous prenons très au sérieux notre responsabilité de protection de vos informations personnelles. Nous souhaitons mettre à votre disposition davantage d’informations et de ressources pour vous aider à comprendre ce qu’il s’est passé, ainsi qu’à déterminer quels types de données ont été récupérées et ce que vous pouvez faire pour protéger vos informations sur Facebook ».

« Nous nous attachons à protéger les informations personnelles des utilisateurs en nous efforçant d’obtenir le retrait de cet ensemble de données et nous continuerons à poursuivre, dans la mesure du possible, les acteurs malveillants qui utilisent nos outils à mauvais escient. Bien que nous ne puissions pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données, nous disposons d’une équipe spécialisée dans ce domaine », a écrit Facebook dans son article d’aide.

« Vous pouvez utiliser de nombreux sites Web pour voir si vos informations ont été récupérées. Vous pouvez consulter le site Web indépendant Have I Been Pwned pour vérifier si votre numéro de téléphone ou adresse e-mail font partie de ce lot d’informations ou d’autres ensembles de données publiés dans le secteur », ajoute le réseau social, avant de rediriger les utilisateurs vers la page "Sécurité en ligne" de la FTC afin de « découvrir comment mieux protéger vos informations en ligne ».

Sources : DataNews, Facebook

Et vous ?

Qu’en pensez-vous ?
Facebook souhaite la normalisation de ces ennuyeuses fuites de données. Quel est votre avis à ce sujet ?
Les fuites de données ne sont-elles pas déjà normalisées sur Facebook ?
Facebook dit qu’il ne peut « pas toujours empêcher la réapparition de ce type d’informations ou la mise à disposition de nouvelles données ». Quel commentaire en faites-vous ?

Voir aussi :

533 millions de numéros de téléphone et de données personnelles d'utilisateurs de Facebook ont été divulgués en ligne, 20 millions appartiennent à des utilisateurs en France
Facebook ne prévoit pas d'informer le demi-milliard d'utilisateurs touchés par la fuite des données, ce serait de votre faute si des pirates ont obtenu votre numéro de téléphone
L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires
Pourquoi la prétendue fuite de données de Clubhouse est probablement en réalité juste un "scraping" de données, toutes les informations semblent être des données accessibles au public

[phil995511]

FB est une boîte vraiment ignoble qui diffusent vos données personnelles en douce totalement illégalement dans votre dos, le pire étant qu'ils trouvent cela normal... on devrait prendre des mesures très sérieuses à leur encontre en Europe.

"En supposant que le volume de la presse continue de diminuer, nous ne prévoyons pas de déclarations supplémentaires sur cette question. À plus long terme, cependant, nous nous attendons à davantage d'incidents de scraping et nous pensons qu'il est important à la fois d'en faire un problème industriel général et de normaliser le fait que cette activité se produit régulièrement."

Perso ça fait belle lurette que j'ai résilié mon compte chez eux, je m'étonne du fait qu'ils aient encore des abonnés.