Ce mardi, un chercheur en cybersécurité a publié une vidéo montrant un outil appelé Recherche par e-mail Facebook v1.0, avec lequel vous pouvez découvrir n’importe quel compte facebook associé à un e-mail. Il vous suffit de saisir votre adresse e-mail et votre compte Facebook nous sera renvoyé.
Connaître le compte Facebook d’une personne avec juste son e-mail
La faute est toujours actif sur Facebook, et le chercheur a décidé de le publier après que Facebook ait affirmé que la vulnérabilité n’était pas importante et ne valait même pas la peine d’être corrigée. Suite à la diffusion de la vidéo, la société a reconnu qu’il semble avoir « clôturé l’enquête prématurément par erreur avant de la confier à l’équipe appropriée ». Après cela, ils affirment qu’ils travaillent pour résoudre la vulnérabilité qui apparaît dans la vidéo, qui n’a pas été publiée pour empêcher l’attaque de se répliquer.
En début d’année, Facebook a corrigé une vulnérabilité avec un mécanisme identique à celui-ci, mais dans ce second cas, ils ont décidé de ne pas la corriger. La faute réside dans le front-end de la plate-forme, mais ils n’ont pas donné plus de détails à ce sujet. Le chercheur a testé avec succès l’outil, qui est maintenant distribué entre les différentes communautés de hackers. Parmi les utilisations en cours, il y a l’espionnage de groupes Facebook qui tentent de prendre le contrôle de comptes avec des e-mails de phishing, ainsi que des comptes publicitaires Facebook pour obtenir de l’argent.
Il est possible d’associer 5 millions de comptes à des emails chaque jour
Le chercheur a acheté 250 comptes Facebook nouvellement enregistrés pour 10 $, et a pu voir comment, en entrant 65 000 e-mails, il a obtenu des résultats pour une grande partie d’entre eux. Comme vous l’avez calculé, il est possible de faire ceci pour 5 millions de comptes de messagerie par jour.
Facebook a insisté ces dernières années pour faire la différence entre les techniques de grattage et les hacks en tant que tels. Le grattage est quelque chose qu’ils autorisent depuis des années, où grâce à leur API, il était possible de collecter des données publiques et pas si publiques à partir de profils d’utilisateurs, tels que le nom, les goûts, les préférences, etc. Grâce à des vulnérabilités, il a été possible de connaître le numéro de téléphone, et dans ce cas, il a également été possible de connaître les comptes associés à chaque e-mail. Par conséquent, il ne s’agit pas de grattage, mais de vulnérabilités dans toutes leurs lettres.
Le média DataNews a eu accès à un e-mail interne de Facebook, dans lequel l’entreprise a fait savoir à ses employés qu’ils espéraient qu’à l’avenir, il y aura de nouveaux cas controversés liés à l’utilisation de techniques de grattage. Et sans aucun doute, cette vulnérabilité entraînera la création de nouvelles bases de données. Si vous n’utilisez pas votre compte, c’est peut-être le bon moment pour vous désabonner de Facebook.
Ainsi, avec ce bug, il est désormais possible de découvrir quels comptes Facebook sont associés à chaque email. Si nous joignons ces données à la fuite d’il y a quelques semaines, il est maintenant possible de connaître le email, nom complet et téléphone d’une personne, ainsi que son correspondant Identifiant de compte.