Facebook poursuit l'Ukrainien qui a collecté les données de 178 millions d'utilisateurs de sa plateforme

Et les a vendu sur un forum clandestin de cybercriminalité

Facebook a déposé une plainte vendredi contre un ressortissant ukrainien pour avoir prétendument collecté des données (data scraping) sur sa plateforme et vendu les données personnelles de plus de 178 millions d'utilisateurs sur un forum clandestin de cybercriminalité.

Selon des documents judiciaires déposés, l'homme a été identifié comme étant Alexander Alexandrovich Solonchenko, un résident de Kirovograd, en Ukraine.

Facebook affirme que Solontchenko a abusé d'une fonctionnalité du service Facebook Messenger appelée Contact Importer. La fonctionnalité permettait aux utilisateurs de synchroniser leurs carnets d'adresses téléphoniques et de voir quels contacts avaient un compte Facebook afin de permettre aux utilisateurs de contacter leurs amis avec Facebook Messenger.

Contexte

« Pour accéder à Facebook et afficher certains profils d'utilisateurs, Facebook exige que chaque utilisateur crée un compte Facebook. Pour créer un compte Facebook, Facebook exige que chaque utilisateur s'enregistre avec un nom d'utilisateur et un mot de passe uniques. »

« Les utilisateurs enregistrés peuvent créer des profils d'utilisateurs et inclure des informations sur eux-mêmes, notamment leur adresse e-mail, leurs numéros de téléphone et leur date de naissance. Les utilisateurs enregistrés de Facebook peuvent établir des connexions sur Facebook en devenant "Amis" avec d'autres utilisateurs de Facebook. »

« Facebook offre à ses utilisateurs le contrôle sur la façon de personnaliser leurs profils et sur la quantité d'informations personnelles à inclure dans leur profil. De plus, les paramètres de confidentialité de Facebook permettent aux utilisateurs de contrôler la quantité d'informations de profil pouvant être consultées publiquement et consultables, par d'autres utilisateurs de Facebook ou par les amis des utilisateurs. »

« Facebook Messenger est une application et une plateforme de messagerie qui permet la messagerie directe, les appels vidéo et vocaux, et la possibilité de partager des photos, des vidéos, de l'audio et des fichiers, entre autres fonctionnalités. Un compte Facebook est requis pour utiliser Messenger. Messenger incluait une fonctionnalité appelée "Importateur de contacts" qui permettait à un utilisateur de télécharger ses contacts à partir du carnet d'adresses sur ses appareils mobiles. »

« Entre juin 2015 et septembre 2019, Messenger Contact Importer a inclus une fonctionnalité qui renverrait une liste individuelle de tous les utilisateurs de Facebook correspondant aux numéros de téléphone téléchargés à partir du carnet d'adresses sur l'appareil mobile d'un utilisateur ("fonction de correspondance CI". La fonctionnalité permettait aux utilisateurs de télécharger leurs contacts à partir d'appareils mobiles et d'identifier leurs amis et autres personnes associées aux numéros de téléphone téléchargés. La fonction de correspondance CI était limitée par les paramètres de confidentialité d'un utilisateur ; c'est-à-dire qu'il n'identifiait un utilisateur avec un numéro de téléphone correspondant que si les paramètres de confidentialité de cet utilisateur permettaient de le rechercher par numéro de téléphone. Si le paramètre de recherche du téléphone d'un utilisateur était défini sur "Amis", alors seulement les « Amis » Facebook de cet utilisateur pouvaient trouver l'utilisateur grâce à la fonction de correspondance CI. Si, d'un autre côté, le paramètre de recherche par téléphone d'un utilisateur permettait à "tout le monde" de le rechercher par numéro de téléphone, d'autres utilisateurs pourraient trouver cet utilisateur à l'aide de la fonction de correspondance CI même s'ils n'étaient pas "amis" avec cet utilisateur sur Facebook. Depuis septembre 2019, Messenger Contact Importer ne renvoie plus de listes individuelles de numéros de téléphone correspondants ».

La collecte des données s'est déroulée sur une période de 21 mois

« Entre janvier 2018 et septembre 2019, l'accusé Alexander Alexandrovich Solonchenko, également connu sous le nom de "Solomam", a collecté des informations accessibles au public (identifiant d'utilisateur Facebook et numéro de téléphone) sur environ 178 millions d'utilisateurs de Facebook. Solontchenko a utilisé un programme informatique pour envoyer des demandes automatisées aux ordinateurs Facebook, tout en prétendant être plusieurs appareils Android connectés à l'application mobile Messenger de Facebook. »

« À partir d'octobre 2020, Solontchenko a vendu des données sur RaidForums.com ("RaidForums". RaidForums est un marché en ligne utilisé pour vendre et distribuer des données récupérées, volées et divulguées. Depuis 2020, Solontchenko vend des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données. En mai 2021, Solontchenko a également vendu les données qu'il avait récupérées sur Facebook entre janvier 2018 et septembre 2019, à savoir les identifiants et numéros de téléphone de Facebook. ».

« La conduite de Solontchenko a violé les conditions d'utilisation et les conditions de la plateforme de Facebook. Facebook demande maintenant une injonction et d'autres réparations ».

Selon Facebook, entre janvier 2018 et septembre 2019, Solontchenko a utilisé un outil automatisé pour se faire passer pour des appareils Android afin de lancer des requêtes auprès des serveurs Facebook sur des millions d'utilisateurs. Alors que les serveurs de Facebook renvoyaient des informations pour lesquelles les numéros de téléphone avaient un compte sur le site, Solontchenko a collecté les données, qu'il a ensuite collectées et proposées à la vente le 1er décembre 2020, dans un article sur RaidForums, un forum de cybercriminalité notoire et une place de marché pour les données volées.


Facebook a déclaré que Solonchenko était un utilisateur prodigieux sur le forum, où il opérait en utilisant le nom d'utilisateur de Solomame (renommé plus tard en barak_obama), et avait vendu les données de centaines de millions d'utilisateurs de plusieurs sociétés.

« Depuis 2020, Solontchenko a vendu des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données », a affirmé Facebook dans des documents judiciaires.

Le réseau social a déclaré qu'il était en mesure de lier Solontchenko à l'utilisateur de RaidForums après que l'accusé ait utilisé le même nom d'utilisateur et les mêmes méthodes de contact sur les portails d'emploi et pour les comptes de messagerie.

« Solonchenko a travaillé en tant que programmeur informatique indépendant avec une expérience de travail dans plusieurs langages de programmation, notamment Python, PHP et Xrumer, qui est un logiciel utilisé pour le spam ; automatiser les tâches sur les émulateurs Android ; et faire du marketing d'affiliation », a déclaré Facebook.

« Jusqu'en juin 2019 ou vers cette date, Solontchenko vendait également des chaussures en ligne sous le nom commercial "Drop Top" », a ajouté Facebook.

Le réseau social demande à un juge d'émettre des injonctions qui interdiraient à Solonchenko d'accéder aux sites Facebook et de vendre davantage de données obtenues de Facebook. Le réseau social réclame également des dommages et intérêts non précisés.

Facebook a retiré la fonctionnalité "Contacter l'importateur" en septembre 2019

L'incident de Solontchenko marque la deuxième collecte de données Facebook qui a été effectuée à l'aide de la fonction Messenger Contact Importer, puis partagée via RaidForums.

En effet, le 3 avril 2021, les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook ont été publiées sur ce même forum. Les données exposées comprenaient les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il s'agissait de leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de...