Facebook : des données personnelles en accès libre sur le cloud d’Amazon
Une entreprise américaine attire l’attention sur des données issues de Facebook et laissées en libre accès sur le cloud d’Amazon.
Que deviennent les données des utilisateurs de Facebook une fois sorties de la sphère du réseau social ?
L’affaire Cambridge Analytica a permis de constater qu’il n’en était pas toujours fait bon usage.
Elles ne sont par ailleurs pas forcément sécurisées comme il le faudrait. Les découvertes d’UpGuard en témoignent.
L’entreprise américaine s’est fait une spécialité de signaler les données laissées en libre accès sur les plates-formes cloud.
Elle a dernièrement communiqué sur le cas d’Accenture, qui n’avait pas protégé des clés d’API, des journaux d’événements… et des dizaines de milliers de mots de passe.
Les compartiments Amazon S3 sur lesquels se trouvaient ces informations étaient mal configurés, de sorte que n’importe qui pouvait en télécharger le contenu.
Des données privées…
Il est arrivé la même chose à Cultura Colectiva.
Le groupe mexicain de médias numériques exploite des données issues de Facebook afin d’optimiser son trafic. On parle là essentiellement de noms d’utilisateurs, d’identifiants de comptes, de commentaires et de réactions.
UpGuard a pu mettre la main sur 540 millions de telles entrées, représentant 146 Go de données.
Les avertissements adressés par mail à Cultura Colectiva les 10 et 14 janvier 2019 étant restés sans réponse, il a été décidé de se tourner vers AWS.
Il a fallu attendre le 3 avril pour que les données soient sécurisées. Bloomberg venait de s’enquérir de la situation auprès de Facebook…
… ou pas
Des noms, des identifiants, des commentaires et des réactions se trouvaient également dans le compartiment qui hébergeait des données associées à l’application At The Pool.
Ce réseau social avait été lancé en 2012 avec la promesse de faciliter la rencontre de personnes partageant les mêmes intérêts.
Les utilisateurs ayant tendance à rechercher des infos locales plutôt qu’à entrer en relation, l’application avait évolué vers un modèle de « Tinder des lieux », sous la marque Yeti.
Rachetée en 2015 par un groupe d’investisseurs privés, elle a depuis lors fermé ses portes. Des données sont cependant restées dans la nature ; tout du moins celles dénichées par UpGuard. Parmi elles, des mots de passe en claire correspondant à environ 22 000 comptes.
Les données ont été mises hors ligne avant qu’UpGuard envoie un mail d’avertissement. L’hypothèse d’une pure coïncidence n’est pas écartée.