Des pirates informatiques affirment avoir volé 1,2 milliard de données d'utilisateurs Facebook

L'énorme base de données a été publiée sur un forum dédié au partage d'informations divulguées. Le groupe a affirmé qu'il ne s'agissait pas d'un recueil d'anciens documents, mais d'une mine de données entièrement nouvelle. Si cela se confirme, il pourrait s'agir de l'une des plus importantes collectes non autorisées de données utilisateur jamais réalisées sur Facebook.

L'équipe de Cybernews a analysé un échantillon de 100 000 enregistrements d'utilisateurs Facebook uniques, issus de la publication initiale de l'attaquant. Bien qu'il ne s'agisse que d'une petite partie des 1,2 milliard d'enregistrements supposés, les chercheurs affirment que les informations contenues dans cet échantillon semblent valides.

Selon une analyse initiale, les données contiennent des champs d'informations sensibles tels que : l'identifiant de l'utilisateur, le nom complet, l'adresse e-mail, le nom d'utilisateur, le numéro de téléphone, la localisation, la date de naissance et le sexe, suffisamment pour créer de graves risques pour la vie privée en cas d'exploitation.

Toutefois, les experts avertissent qu'il faut faire preuve de prudence avant de confirmer l'authenticité de l'ensemble de l'affirmation, en partie parce qu'il s'agit seulement du deuxième message du groupe sur le forum, et le message précédent contenait beaucoup moins de données.

« Il est possible qu’ils aient d’abord testé une petite partie des données, puis qu’ils aient continué à collecter ou à regrouper des données pour augmenter le nombre à 1,2 milliard d’enregistrements », a déclaré l’équipe de recherche.

Si cela se confirme, il s'agirait de l'une des plus importantes violations de données utilisateur jamais enregistrées sur la plateforme Facebook, soulevant d'autres questions sur la manière dont Meta protège les informations personnelles des utilisateurs.

« Ces incidents démontrent que Facebook adopte une approche réactive plutôt que proactive en matière de sécurité, notamment lorsqu'il s'agit de données sensibles mais accessibles au public. L'absence de mesures de protection solides et de transparence non seulement érode la confiance, mais expose également des millions d'utilisateurs à des risques de fraude, d'usurpation d'identité et à des conséquences à long terme sur leur vie privée », rapporte Cybernews.

Avec une taille pouvant atteindre 1,2 milliard d'enregistrements, l'ensemble de données divulgué pourrait devenir un outil extrêmement dangereux pour les groupes cybercriminels. Disposer d'un volume important d'adresses e-mail, de numéros de téléphone et d'informations personnelles authentifiées d'utilisateurs Facebook permet aux attaquants d'automatiser facilement des campagnes d'hameçonnage et d'attaquer des cibles à grande échelle.

Au lieu de nécessiter une action manuelle, ces campagnes peuvent être déployées à l’aide de robots automatisés qui génèrent des millions de messages falsifiés, de messages malveillants ou de fausses demandes de connexion, personnalisés en fonction des données collectées.

Le fait de savoir que les adresses e-mail de la liste sont en réalité liées à des comptes Facebook rend les arnaques encore plus convaincantes. Les pirates peuvent cibler des utilisateurs individuels avec des campagnes d'hameçonnage sophistiquées, en se faisant passer pour Facebook ou des services associés afin de voler des identifiants de connexion, de prendre le contrôle de comptes ou de commettre une fraude financière.

Selon les experts en sécurité, l'utilisation abusive des API est une tactique de plus en plus répandue chez les acteurs malveillants. Au premier semestre de cette année, plusieurs plateformes majeures, dont Shopify, GoDaddy, Wix et OpenAI, ont été la cible d'attaques par exploit d'API.

Les groupes d’attaque motivés par des raisons financières utilisent même des techniques similaires pour accéder illégalement à des portefeuilles de cryptomonnaies ou pour récolter des données personnelles à partir de systèmes insuffisamment protégés.

Les API font partie intégrante des infrastructures numériques modernes, permettant à différents services d'interagir et de partager des données. Cependant, cette flexibilité peut également les rendre vulnérables si elles ne sont pas rigoureusement contrôlées. Les attaquants peuvent exploiter des API légitimes pour extraire des données à une vitesse et à une échelle bien supérieures à celles initialement prévues par le développeur.

La collecte illégale de données Facebook n'est pas une nouveauté. L'année dernière, Meta a elle-même admis avoir utilisé des données publiques de Facebook et d'Instagram pour entraîner son assistant IA, une initiative qui a suscité une controverse sur la protection de la vie privée.

Plus tôt en 2021, une autre fuite majeure impliquant les données de plus de 500 millions d'utilisateurs de Facebook, y compris les numéros de téléphone et les localisations, a valu à l'entreprise une amende de 265 millions d'euros de la part de la Commission irlandaise de protection des données (DPC).

« Des incidents répétés montrent que Facebook et de nombreuses autres plateformes maintiennent toujours un modèle de sécurité réactif plutôt que proactif, en particulier lorsqu'il s'agit de contrôler des données publiques mais sensibles », a averti l'équipe de recherche.

« Sans mécanismes de défense rigoureux et la transparence nécessaire, la confiance des utilisateurs est érodée et des millions de personnes deviennent des cibles potentielles d’escroqueries, de fraudes ou même de vol d’identité », a déclaré l’équipe de recherche.