Les données de 540 millions d'utilisateurs de Facebook stockées sans protection sur AWS

Les découvertes de failles de sécurité chez Facebook sont de plus en plus fréquentes.

Cette fois-ci, ce sont des données venant d’applications tierces qui ont été récupérées par la société de sécurité informatique UpGuard. Elles contenaient de nombreux détails sur les utilisateurs comme leurs commentaires, leurs likes, leurs noms, voire leurs mots de passe pour certains. Ces données ont été collectées par deux applications Facebook tierces, Cultura Colectiva et At the Pool. Elles ont été retrouvées sur des serveurs publics AWS S3.

Pour l’éditeur mexicain de médias numériques Cultura Colectiva, c’est un paquet de 146 gigaoctets contenant les données de 540 millions d’utilisateurs qui a été trouvé. La fuite de la société At the Pool n’est pas aussi large que chez Cultura Colectiva, mais contient tout de même des données sensibles et non protégées, en l’occurence 22’000 mots de passes sauvegardés en clair. At the Pool a cessé ses activités en 2014 et son site internet n’est désormais plus accessible.

Une sécurisation qui tarde

La société de sécurité informatique UpGuard, à l’origine de cette découverte, a contacté les deux éditeurs en question (Cultura Colectiva et At The Pool), sans recevoir de réponses. Les chercheurs en sécurité se sont également tournés vers Facebook pour l’avertir de cette brèche le 10 janvier de cette année, puis à nouveau le 14 janvier. Ils ont notifié Amazon le 28 janvier qui a reconnu l’incident, sans toutefois prendre de mesure. La base n’a été sécurisée que le matin du mercredi 3 avril lorsque Bloomberg a été le premier à rendre cette fuite publique et a contacté Facebook.

Impliquant un collecteur de données (Facebook), des partenaires ayant accès à ses données (les deux applications tierces) et un fournisseur cloud (AWS), le problème de confidentialité identifié illustre la complexité de la sécurité et de la responsabilité dans les environnements complexes actuels.