Encore sous le coup de la divulgation, le mois dernier, des numéros de téléphone de 500 millions d'utilisateurs de Facebook, le géant des réseaux sociaux doit faire face à une nouvelle crise de la vie privée : un outil qui, à grande échelle, relie les comptes Facebook aux adresses électroniques qui leur sont associées, même lorsque les utilisateurs choisissent des paramètres pour ne pas les rendre publiques.
Une vidéo circulant mardi montre un chercheur faisant la démonstration d'un outil appelé Facebook Email Search v1.0, qui, selon lui, peut relier des comptes Facebook à 5 millions d'adresses électroniques par jour. Le chercheur - qui a déclaré avoir rendu l'outil public après que Facebook ait déclaré qu'il ne pensait pas que la faiblesse qu'il avait découverte était suffisamment "importante" pour être corrigée - a donné à cet outil une liste de 65 000 adresses électroniques et a observé ce qui se passait ensuite.
"Comme vous pouvez le voir dans le log ici, j'obtiens une quantité importante de résultats de leur part", a déclaré le chercheur alors que la vidéo montrait l'outil en train de traiter la liste d'adresses. "J'ai dépensé environ 10 dollars pour acheter quelque 200 comptes Facebook. Et en trois minutes, j'ai réussi à faire cela pour 6 000 comptes [email]".
Ars a obtenu la vidéo à condition qu'elle ne soit pas partagée. Une transcription audio complète figure à la fin de ce billet.
Une occasion ratée
Dans une déclaration, Facebook a dit : "Il semble que nous ayons fermé par erreur ce rapport de bug bounty avant de l'acheminer à l'équipe appropriée. Nous apprécions que le chercheur ait partagé cette information et nous prenons des mesures préliminaires pour limiter ce problème pendant que nous effectuons un suivi pour mieux comprendre ses conclusions."
Un porte-parole de Facebook n'a pas répondu à une question demandant si la société avait dit au chercheur qu'elle ne considérait pas la vulnérabilité comme suffisamment importante pour justifier un correctif. Le représentant a déclaré que les ingénieurs de Facebook pensent avoir réduit la fuite en désactivant la technique montrée dans la vidéo.
Le chercheur, qu'Ars a accepté de ne pas identifier, a déclaré que Facebook Email Search exploitait une vulnérabilité front-end qu'il a récemment signalée à Facebook, mais que "Facebook ne considère pas comme suffisamment importante pour être corrigée". Plus tôt cette année, Facebook présentait une vulnérabilité similaire qui a finalement été corrigée.
"C'est essentiellement la même vulnérabilité", dit le chercheur. "Et pour une raison quelconque, malgré le fait que j'en ai fait la démonstration à Facebook et que je les ai sensibilisés, ils m'ont dit directement qu'ils ne prendront pas de mesures contre elle."
Sur Twitter
Facebook a été critiqué non seulement pour avoir fourni les moyens de ces collectes massives de données, mais aussi pour la façon dont il tente activement de promouvoir l'idée qu'elles ne causent qu'un préjudice minime aux utilisateurs de Facebook. Un courriel que Facebook a envoyé par inadvertance à un journaliste de la publication néerlandaise DataNews demandait aux responsables des relations publiques de "présenter cette question comme un problème industriel général et de normaliser le fait que cette situation se produit régulièrement". Facebook a également fait la distinction entre le scraping et les hacks ou les brèches.
Il n'est pas clair si quelqu'un a activement exploité ce bug pour construire une base de données massive, mais cela ne serait certainement pas surprenant. "Je pense qu'il s'agit d'une vulnérabilité assez dangereuse et j'aimerais qu'on m'aide à y mettre fin", a déclaré le chercheur.
Voici la transcription écrite de la vidéo :
Donc, ce que je voudrais démontrer ici, c'est une vulnérabilité active au sein de Facebook, qui permet à des utilisateurs malveillants d'interroger, euh, des adresses e-mail au sein de Facebook et que Facebook renvoie, tout utilisateur correspondant.
Cela fonctionne avec une vulnérabilité front end de Facebook, que je leur ai signalée, dont ils sont conscients, et qu'ils ne considèrent pas comme suffisamment importante pour être corrigée, ce que je considère comme une violation significative de la vie privée et un gros problème.
Cette méthode est actuellement utilisée par un logiciel, qui est disponible dès maintenant dans la communauté des pirates informatiques.
Elle est actuellement utilisée pour compromettre des comptes Facebook dans le but de prendre le contrôle de groupes de pages et, euh, de comptes de publicité Facebook pour un gain monétaire évident. Um, j'ai mis en place cet exemple visuel sans JS.
Ce que j'ai fait ici, c'est que j'ai pris, euh, 250 comptes Facebook, des comptes Facebook nouvellement enregistrés, que j'ai achetés en ligne pour environ 10 $.
Um, j'ai interrogé ou je suis en train d'interroger 65,000 adresses e-mail. Et comme vous pouvez le voir dans le journal de sortie ici, j'obtiens une quantité significative de résultats de leur part.
Si je regarde le fichier de sortie, vous pouvez voir que j'ai un nom d'utilisateur et une adresse e-mail correspondant aux adresses e-mail d'entrée, que j'ai utilisées. Maintenant, j'ai, comme je l'ai dit, j'ai dépensé peut-être 10 $ en utilisant deux pour acheter 200 et quelques comptes Facebook. Et en trois minutes, j'ai réussi à le faire pour 6 000 comptes.
J'ai testé cela à plus grande échelle, et il est possible d'utiliser cette méthode pour extraire jusqu'à 5 millions d'adresses e-mail par jour.
Il y avait une vulnérabilité existante avec Facebook, euh, plus tôt cette année, qui a été corrigée. C'est essentiellement la même vulnérabilité. Et pour une raison quelconque, bien que j'en aie fait la démonstration à Facebook et que je les en aie informés, ils m'ont dit directement qu'ils ne prendraient aucune mesure pour y remédier.
Je m'adresse donc à des personnes comme vous, dans l'espoir que vous puissiez utiliser votre influence ou vos contacts pour faire cesser cela, car je suis très, très confiant.
Il ne s'agit pas seulement d'une énorme violation de la vie privée, mais cela va entraîner une nouvelle, une autre grande fuite de données, y compris les e-mails, qui va permettre à des personnes indésirables, non seulement d'avoir cette, euh, correspondance entre l'e-mail et l'ID de l'utilisateur, mais aussi d'ajouter l'adresse e-mail aux numéros de téléphone, qui ont été disponibles dans les fuites précédentes, euh, je suis tout à fait heureux de démontrer cette vulnérabilité front end afin que vous puissiez voir comment cela fonctionne.
Je ne vais pas la montrer dans cette vidéo simplement parce que je ne veux pas que la vidéo soit, euh, je ne veux pas que la méthode soit exploitée, mais si je serais tout à fait heureux de, de le démontrer, euh, si cela est nécessaire, mais comme vous pouvez le voir, vous pouvez voir continue à sortir de plus en plus et de plus en plus. Je crois qu'il s'agit d'une vulnérabilité dangereuse et je voudrais de l'aide pour l'arrêter.
source :
https://arstechnica.com/gadgets/2021/04/tool-links-email-addresses-to-facebook-accounts-at-scale/