Bien que nous soyons maintenant à un an du grand scandale Facebook de Cambridge Analytica, on nous le rappelle aujourd’hui avec deux autres cas d’applications Facebook tierces manipulant mal les données des utilisateurs. Ces deux applications ont stocké les données collectées auprès des utilisateurs de Facebook dans des bibliothèques Amazon S3 accessibles au public. Bien qu’il soit difficile de déterminer le nombre d’utilisateurs auxquels leurs données ont été exposées, il est probable que ce nombre dépasse les millions.
La première instance de données utilisateur exposées tombe sur Cultura Colective, une société de médias basée à Mexico. La société a stocké 540 millions d’enregistrements sur les utilisateurs de Facebook, pour un total de 146 Go de données. Les informations contenues dans le jeu de données comprennent les noms de compte, les identifiants Facebook, les commentaires, les likes, les réactions, etc., qui pourraient le rendre particulièrement attrayant pour les cybercriminels cherchant à s’approprier des comptes de consommateurs.
Les téléchargements publics sont activés dans ces deux compartiments Amazon S3. Il suffirait donc que quelqu’un qui a une intention malhonnête de tomber sur ces bibliothèques pour que ces données tombent entre de mauvaises mains. UpGuard écrit que le jeu de données de At the Pool — qui n’est plus actif depuis 2014 — a été mis hors ligne au moment de la rédaction du rapport d’aujourd’hui. Ce problème particulier a donc été résolu.
Un problème inhérent à la collecte massive d’informations
Dans le cas des données compromises par Cultura Colective, il semble que le fait que quelqu’un se soucie du fait que tout cela ait été révélé au grand jour ait été une odyssée en soi. UpGuard a précisé avoir contacté Cultura Colective le 10 janvier de cette année, puis avoir envoyé un deuxième e-mail le 14 janvier. Malgré ses efforts, elle n’a pas eu de nouvelles, et a même contacté Amazon pour trouver une solution. En vain. Ce n’est que lorsque les employés de Bloomberg ont contacté Facebook plus tôt dans la journée que le problème a été résolu, cette bibliothèque étant désormais sécurisée.
Même si ces données, une fois publiques, sont maintenant correctement sécurisées, il ne s’agit pas d’une bonne chose pour Facebook. « Ces deux situations illustrent le problème inhérent à la collecte massive d’informations : les données ne disparaissent pas naturellement, et un emplacement de stockage abandonné peut ou non recevoir l’attention dont il a besoin », écrit aujourd’hui UpGuard, ajoutant que même si Mark Zuckerberg s’est engagé l’année dernière à mieux bloquer Facebook, les données sur ses utilisateurs ont déjà « été diffusées bien au-delà des limites que Facebook peut contrôler à ce jour ».