Vers la fin du mois de décembre 2019, une faille de sécurité liée à Facebook-est apparue : un pirate informatique aurait pu extraire sans autorisation un grand nombre de données d'un utilisateur, y compris son numéro de téléphone personnel. La faille a été comblée, mais pas avant qu'une personne malveillante ne parvienne à l'exploiter, créant ainsi une base de données contenant environ 533 millions de numéros de téléphone dans le monde. Le fait est déjà très grave en soi, mais il est aggravé par la façon dont les propriétaires de la base de données ont inventé pour la rendre rentable : au lieu d'essayer de la vendre sur le web noir comme on le fait habituellement, ils ont créé ... un bot sur Telegram.
Le concept est très simple : l'utilisateur envoie des recherches au bot par le biais de commandes dont la syntaxe est raisonnablement intuitive, le bot effectue des recherches dans la base de données. Vous voulez voir le résultat ? Payer un crédit. Les instructions sont claires et le système peut être exploité par presque tout le monde. De cette manière, les parties malveillantes élargissent considérablement le nombre de parties intéressées potentielles. Les crédits coûtent 20 dollars chacun, mais plus vous en achetez, plus vous économisez : par exemple, 10 000 crédits ne coûtent "que" 5 000 dollars.
Il y a quelques jours, un utilisateur a créé un robot Telegram permettant aux utilisateurs d'interroger la base de données pour un faible coût, permettant aux gens de trouver les numéros de téléphone liés à une très grande partie des comptes Facebook. Cela a évidemment un impact énorme sur la vie privée. pic.twitter.com/lM1omndDET
- Alon Gal (Under the Breach) (@UnderTheBreach) 14 janvier 2021
Le bot fonctionne depuis au moins le 12 janvier : il est bien sûr impossible de déterminer combien les voleurs d'informations ont déjà gagné. On peut supposer que la chaîne ne durera pas longtemps - probablement maintenant que l'information est dans le domaine public. La modération du télégramme interviendra et la fermera, mais le problème reste que la base de données est toujours là. Les données datent de 2019, c'est vrai, mais vous ne changez pas de numéro de téléphone aussi souvent ; donc pour beaucoup, ce sont des données toujours valables et à jour.
Le plus ironique est que par le passé, Facebook a insisté pour collecter les numéros de téléphone des utilisateurs et les inviter à activer l'authentification à deux facteurs - une fonction qui était censée accroître la sécurité d'un profil, et non l'exposer à une fuite grave de données personnelles sensibles. Il y a quelques années déjà, l'entreprise avait été critiquée pour avoir utilisé les numéros ainsi collectés pour des activités qui n'étaient pas strictement liées à la sécurité - par exemple, pour notifier par SMS la publication de nouveaux messages par des amis.
