Des pirates informatiques affirment avoir volé 1,2 milliard de données d'utilisateurs de Facebook.
Un groupe de pirates informatiques affirme avoir volé une base de données massive de 1,2 milliard d'enregistrements d'utilisateurs de Facebook en exploitant une vulnérabilité dans une interface de programmation d'application (API) de la plateforme de médias sociaux exploitée par Meta.
Cette base de données massive a fait surface sur un forum dédié au partage d'informations divulguées, accompagnée d'une affirmation du groupe de pirates informatiques selon laquelle il ne s'agissait pas d'une compilation d'anciens enregistrements, mais d'une toute nouvelle mine de données. Si cela se confirme, il pourrait s'agir de l'une des plus importantes violations de données d'utilisateurs jamais subies par Facebook.
Une équipe de recherche de Cybernews a analysé un échantillon de données comprenant 100 000 profils d'utilisateurs Facebook uniques, extraits de la publication originale de l'attaquant. Bien que cela ne représente qu'une petite fraction d'un ensemble de données estimé à 1,2 milliard d'enregistrements, les chercheurs affirment que les informations contenues dans cet échantillon semblent valides.

Selon une première analyse, les données contiennent des champs d'information sensibles tels que l'identifiant de l'utilisateur, le nom complet, l'adresse électronique, le nom d'utilisateur, le numéro de téléphone, la localisation, la date de naissance et le sexe, suffisants pour créer un risque sérieux pour la vie privée en cas d'exploitation.
Cependant, les experts recommandent la prudence avant de confirmer l'authenticité de l'ensemble de ces allégations. En effet, il s'agit seulement du deuxième message publié par les auteurs de l'attaque sur le forum, et le précédent contenait beaucoup moins d'informations.
« Il est possible qu'ils aient initialement testé les données avec un petit échantillon, puis qu'ils aient continué à les collecter ou à les agréger pour augmenter le nombre à 1,2 milliard d'enregistrements », a noté l'équipe de recherche.
Si cette allégation est confirmée, il s'agirait de l'une des plus importantes fuites de données d'utilisateurs jamais enregistrées sur la plateforme Facebook, soulevant encore davantage de questions sur la manière dont Meta protège les informations personnelles des utilisateurs.
« Cette série d’incidents démontre que Facebook met en œuvre des mesures de sécurité plus réactives que proactives, notamment en ce qui concerne les données sensibles encore accessibles au public. L’absence de garanties robustes et de transparence nécessaire érode non seulement la confiance, mais expose également des millions d’utilisateurs à des risques de fraude, d’usurpation d’identité et de conséquences à long terme sur leur vie privée », souligne le rapport de Cybernews.
Avec près de 1,2 milliard d'enregistrements, les données divulguées pourraient devenir une arme extrêmement dangereuse entre les mains des cybercriminels. Disposer d'un si grand nombre d'adresses électroniques, de numéros de téléphone et d'informations personnelles vérifiées d'utilisateurs de Facebook facilite grandement la tâche des attaquants qui peuvent automatiser des campagnes d'hameçonnage et cibler des victimes à grande échelle.
Au lieu de nécessiter une intervention manuelle, ces campagnes peuvent être déployées à l'aide de robots automatisés qui génèrent des millions de faux messages, de messages malveillants ou de fausses demandes de connexion, personnalisés en fonction des données collectées.
Le fait de savoir que les adresses électroniques figurant sur la liste sont liées à des comptes Facebook rend ces arnaques encore plus crédibles. Les pirates peuvent cibler des utilisateurs individuels grâce à des campagnes d'hameçonnage sophistiquées, en se faisant passer pour Facebook ou des services associés afin de voler des identifiants de connexion, de prendre le contrôle de comptes ou de commettre des fraudes financières.
D'après les experts en sécurité, l'exploitation abusive des API est une tactique de plus en plus courante employée par les cybercriminels. Au cours du premier semestre de cette année, de nombreuses plateformes majeures telles que Shopify, GoDaddy, Wix et OpenAI ont été la cible d'attaques exploitant les failles de leurs API.
Des groupes d'attaquants motivés par le gain financier utilisent même des techniques similaires pour accéder illégalement à des portefeuilles de cryptomonnaies ou collecter des données personnelles à partir de systèmes insuffisamment protégés.
Les API font partie intégrante de l'infrastructure numérique moderne, permettant à divers services d'interagir et de partager des données. Cependant, cette flexibilité même les rend vulnérables si elles ne sont pas rigoureusement contrôlées. Des attaquants peuvent exploiter des API légitimes pour extraire des données à une vitesse et à une échelle bien supérieures aux intentions initiales des développeurs.
La collecte non autorisée de données Facebook n'est pas un phénomène nouveau. L'année dernière, Meta a elle-même admis avoir utilisé des données publiques de Facebook et d'Instagram pour entraîner son assistant virtuel IA, une initiative qui a suscité une vive polémique concernant le respect de la vie privée.
Auparavant, en 2021, une autre fuite de données majeure impliquant plus de 500 millions d'utilisateurs de Facebook, y compris leurs numéros de téléphone et leurs localisations, avait valu à l'entreprise une amende de 265 millions d'euros infligée par la Commission irlandaise de protection des données (DPC).
« Des incidents répétés montrent que Facebook et de nombreuses autres plateformes maintiennent encore un modèle de sécurité réactif plutôt que proactif, notamment en ce qui concerne le contrôle des données sensibles accessibles au public », a averti l’équipe de recherche.
L'équipe de recherche a déclaré : « Sans mécanismes de défense rigoureux et sans la transparence nécessaire, la confiance des utilisateurs s'érode et des millions de personnes deviennent des cibles potentielles d'escroqueries, de fraudes, voire d'usurpation d'identité. »


