Faille Facebook : savoir si votre compte fait partie des accès compromis

Le par  |  6 commentaire(s)
Facebook-securite

Ce ne sont pas 50 millions de comptes Facebook qui ont été affectés par l'attaque liée au vol de jetons d'accès mais 30 millions. Parmi eux, il y a bel et bien eu accès à des données.

Facebook a mis à jour ses informations au sujet de la faille de sécurité dont le réseau social a été la victime et qui a été exploitée par des attaquants. Cette faille se situait pour rappel au niveau de la fonctionnalité " Aperçu du profil en tant que " et résultait de la combinaison de trois bugs distincts dans du code. Elle a permis à des attaquants de voler des jetons d'accès - tokens - à des comptes (pas les identifiants).

Après avoir évoqué 50 millions de comptes pour lesquels les jetons d'accès auraient été affectés, Facebook revoit ce chiffre à la baisse. Ce sont environ 30 millions de comptes dont les tokens ont été dérobés.

Si le décompte a été revu à la baisse, la mauvaise nouvelle est que des tokens ont effectivement été utilisés pour l'accès à des informations personnelles. Pour 15 millions, il s'agit du nom et d'informations de contact (email, numéro de téléphone ou les deux si renseignés).

Pour 14 millions de personnes, les attaquants ont en plus eu accès à d'autres détails sur les profils : nom d'utilisateur, genre, langue, situation amoureuse, religion, ville d'origine, ville actuelle, date de naissance, types d'appareils utilisés pour accéder à Facebook, éducation, travail, dix derniers lieux d'une connexion, Pages ou personnes suivies, les quinze recherches les plus récentes.

Pour le dernier million de personnes, les attaquants n'ont eu accès à aucune information. Via une page d'aide, Facebook a mis en place un outil permettant à un utilisateur de savoir si son compte a été impacté par le problème de sécurité. Il suffit pour cela de s'y rendre en se connectant à son compte et un message livrera le verdict.

Facebook-faille-securite-compte-non-impacte
Ultérieurement, Facebook va envoyer des messages personnalisés aux 30 millions de personnes affectées. Le groupe de Mark Zuckerberg réitère que l'attaque n'a pas concerné Messenger, WhatsApp, Instagram, Oculus, les applications tierces ou encore les paiements.

Une enquête demeure en cours et sur demande du FBI, Facebook ne s'étend pas sur les intentions des attaquants, voire leur identité. La faille était présente entre juillet 2017 et septembre 2018. La détection d'une activité anormale a débuté le 14 septembre 2018. Le 25 septembre, il a été déterminé qu'il s'agissait d'une attaque et la vulnérabilité exploitée a été identifiée. Elle a été corrigée en deux jours et avec la réinitialisation des jetons d'accès pour les personnes potentiellement affectées.

Dans cette affaire, l'autorité de protection des données irlandaise (pour l'Europe) a ouvert une enquête et se penchera notamment sur le respect par Facebook de ses obligations en vertu du Règlement général sur la protection des données (RGPD).

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2036765
Pour ma part, j'ai essayé, j'obtiens ce message :
"Our investigation is still ongoing, but based on what we've learned so far, the attackers did not gain access to information associated with your Facebook account."

Donc, tout est okay...normalement
Le #2036769
Cette faille est peut être un bien fait dans le sens où certaines personnes vont se rendre compte qu'il ne faut pas partager aussi facilement ces informations personnelles (que ce soit Facebook ou n'importe quel site internet en soit)

Genre, langue, religion, ville d'origine, moult et moult autres informations : qui fournit toutes ses informations ???? Limite pour certaines personnes Facebook est plus détaillé que leur CV (une aubaine pour les employeurs =) )
Le #2036770
bon, je ne connais pas, mais enfin de compte il suffit de mentir sur ses données personnelles. Bref....
Le #2036771
Narcos a écrit :

bon, je ne connais pas, mais enfin de compte il suffit de mentir sur ses données personnelles. Bref....


tout a fait d'accord, ou ne pas les renseigner (si le site impose de les fournir c'est qu'il faut se poser des questions =) )
Le #2036826
"Elle a été corrigée en deux jours"
- Dans le monde numérique, savent-ils tout ce qui peut se faire en deux jours ?

"l'autorité de protection des données irlandaise (pour l'Europe) a ouvert une enquête "
- Merveilleux. Les utilisateur sont sûrement rassurés par le fait qu'une enquête est ouverte. Je serais dans les victimes, je me sentirais tout de suite mieux .


Le #2036846
Ulysse2K a écrit :

"Elle a été corrigée en deux jours"
- Dans le monde numérique, savent-ils tout ce qui peut se faire en deux jours ?

"l'autorité de protection des données irlandaise (pour l'Europe) a ouvert une enquête "
- Merveilleux. Les utilisateur sont sûrement rassurés par le fait qu'une enquête est ouverte. Je serais dans les victimes, je me sentirais tout de suite mieux .




L'enquete est ouverte, cela signifie que depuis ce matin on établit les faits quoi !!!
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme