Crédits : Kevin Ku via Unsplash
214 millions de comptes Facebook, Instagram et LinkedIn ont été compromis. Safety Detective, dont la mission est d’identifier les failles de sécurité de serveur, a découvert que la société chinoise Socialarks était responsable d’une fuite massive de données personnelles. L’entreprise, spécialisée dans la gestion des réseaux sociaux et le développement de marque sur le territoire chinois, conservait les données de plusieurs millions d’utilisateurs, plus de 400 Go, sur un serveur non-sécurisé détenu par Tencent. Dans sa publication, l’équipe de Safety Detective explique « que le serveur ElasticSearch était exposé publiquement sans protection par mot de passe ou chiffrement ». Concrètement, le manque de sécurité permettait à tout un chacun d’accéder aux informations des utilisateurs concernés. Selon Safety Detective, celles-ci ont été récupérées grâce au « Datascrapping ». Il s’agit de l’aspiration de données personnelles accessibles sur les réseaux sociaux. Si la pratique est légale, et déjà utilisée par de nombreuses entreprises, c’est le manque de dispositif de sécurité nécessaire à la protection des données récoltées qui pose problème. Ce n’est d’ailleurs pas la première fois que Socialarks est concernées par une telle fuite de données, puisqu’elle avait déjà divulgué les informations de 150 millions de comptes en août dernier.
Des données sensibles
Parmi les données récoltées par la firme, on retrouve essentiellement des informations communiquées par les utilisateurs directement sur les différents réseaux sociaux. Ainsi, les noms, les noms des utilisateurs, les liens vers les profils, les pseudos sur les différentes plateformes, les photos de profils et la description des comptes sont renseignés sur le fichier. En revanche, Safety Detective a aussi remarqué que plusieurs informations plus sensibles étaient aussi présentes sur le serveur. En effet, pour Instagram par exemple, 6 millions d’adresses mail d’utilisateurs ont été enregistrées alors que ces informations n’avaient pas été diffusées sur les différentes plateformes par les internautes. Les experts ne peuvent expliquer leur présence.
Des risques de fraude
Une telle fuite de donnée est forcément très dangereuse pour les utilisateurs concernés. L’exposition de ces informations les rend vulnérables aux attaques en ligne comme le vol d’identité, la fraude financière sur d’autres plateformes, y compris les services bancaires en ligne. Les informations concernant les contacts des utilisateurs peuvent aussi être exploitées pour l’envoi d’e-mails personnalisés. Il faudra donc redoubler de vigilance. En France, plus de 810 000 de comptes sont concernés.
Une entreprise chinoise fait fuiter 400 Go de données personnelles
