IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Facebook poursuit l'Ukrainien qui a collecté les données de 178 millions d'utilisateurs de sa plateforme
Et les a vendu sur un forum clandestin de cybercriminalité

Le , par Stéphane le calme

288PARTAGES

5  0 
Facebook a déposé une plainte vendredi contre un ressortissant ukrainien pour avoir prétendument collecté des données (data scraping) sur sa plateforme et vendu les données personnelles de plus de 178 millions d'utilisateurs sur un forum clandestin de cybercriminalité.

Selon des documents judiciaires déposés, l'homme a été identifié comme étant Alexander Alexandrovich Solonchenko, un résident de Kirovograd, en Ukraine.

Facebook affirme que Solontchenko a abusé d'une fonctionnalité du service Facebook Messenger appelée Contact Importer. La fonctionnalité permettait aux utilisateurs de synchroniser leurs carnets d'adresses téléphoniques et de voir quels contacts avaient un compte Facebook afin de permettre aux utilisateurs de contacter leurs amis avec Facebook Messenger.

Contexte

« Pour accéder à Facebook et afficher certains profils d'utilisateurs, Facebook exige que chaque utilisateur crée un compte Facebook. Pour créer un compte Facebook, Facebook exige que chaque utilisateur s'enregistre avec un nom d'utilisateur et un mot de passe uniques. »

« Les utilisateurs enregistrés peuvent créer des profils d'utilisateurs et inclure des informations sur eux-mêmes, notamment leur adresse e-mail, leurs numéros de téléphone et leur date de naissance. Les utilisateurs enregistrés de Facebook peuvent établir des connexions sur Facebook en devenant "Amis" avec d'autres utilisateurs de Facebook. »

« Facebook offre à ses utilisateurs le contrôle sur la façon de personnaliser leurs profils et sur la quantité d'informations personnelles à inclure dans leur profil. De plus, les paramètres de confidentialité de Facebook permettent aux utilisateurs de contrôler la quantité d'informations de profil pouvant être consultées publiquement et consultables, par d'autres utilisateurs de Facebook ou par les amis des utilisateurs. »

« Facebook Messenger est une application et une plateforme de messagerie qui permet la messagerie directe, les appels vidéo et vocaux, et la possibilité de partager des photos, des vidéos, de l'audio et des fichiers, entre autres fonctionnalités. Un compte Facebook est requis pour utiliser Messenger. Messenger incluait une fonctionnalité appelée "Importateur de contacts" qui permettait à un utilisateur de télécharger ses contacts à partir du carnet d'adresses sur ses appareils mobiles. »

« Entre juin 2015 et septembre 2019, Messenger Contact Importer a inclus une fonctionnalité qui renverrait une liste individuelle de tous les utilisateurs de Facebook correspondant aux numéros de téléphone téléchargés à partir du carnet d'adresses sur l'appareil mobile d'un utilisateur ("fonction de correspondance CI". La fonctionnalité permettait aux utilisateurs de télécharger leurs contacts à partir d'appareils mobiles et d'identifier leurs amis et autres personnes associées aux numéros de téléphone téléchargés. La fonction de correspondance CI était limitée par les paramètres de confidentialité d'un utilisateur ; c'est-à-dire qu'il n'identifiait un utilisateur avec un numéro de téléphone correspondant que si les paramètres de confidentialité de cet utilisateur permettaient de le rechercher par numéro de téléphone. Si le paramètre de recherche du téléphone d'un utilisateur était défini sur "Amis", alors seulement les « Amis » Facebook de cet utilisateur pouvaient trouver l'utilisateur grâce à la fonction de correspondance CI. Si, d'un autre côté, le paramètre de recherche par téléphone d'un utilisateur permettait à "tout le monde" de le rechercher par numéro de téléphone, d'autres utilisateurs pourraient trouver cet utilisateur à l'aide de la fonction de correspondance CI même s'ils n'étaient pas "amis" avec cet utilisateur sur Facebook. Depuis septembre 2019, Messenger Contact Importer ne renvoie plus de listes individuelles de numéros de téléphone correspondants ».

La collecte des données s'est déroulée sur une période de 21 mois

« Entre janvier 2018 et septembre 2019, l'accusé Alexander Alexandrovich Solonchenko, également connu sous le nom de "Solomam", a collecté des informations accessibles au public (identifiant d'utilisateur Facebook et numéro de téléphone) sur environ 178 millions d'utilisateurs de Facebook. Solontchenko a utilisé un programme informatique pour envoyer des demandes automatisées aux ordinateurs Facebook, tout en prétendant être plusieurs appareils Android connectés à l'application mobile Messenger de Facebook. »

« À partir d'octobre 2020, Solontchenko a vendu des données sur RaidForums.com ("RaidForums". RaidForums est un marché en ligne utilisé pour vendre et distribuer des données récupérées, volées et divulguées. Depuis 2020, Solontchenko vend des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données. En mai 2021, Solontchenko a également vendu les données qu'il avait récupérées sur Facebook entre janvier 2018 et septembre 2019, à savoir les identifiants et numéros de téléphone de Facebook. ».

« La conduite de Solontchenko a violé les conditions d'utilisation et les conditions de la plateforme de Facebook. Facebook demande maintenant une injonction et d'autres réparations ».

Selon Facebook, entre janvier 2018 et septembre 2019, Solontchenko a utilisé un outil automatisé pour se faire passer pour des appareils Android afin de lancer des requêtes auprès des serveurs Facebook sur des millions d'utilisateurs. Alors que les serveurs de Facebook renvoyaient des informations pour lesquelles les numéros de téléphone avaient un compte sur le site, Solontchenko a collecté les données, qu'il a ensuite collectées et proposées à la vente le 1er décembre 2020, dans un article sur RaidForums, un forum de cybercriminalité notoire et une place de marché pour les données volées.


Facebook a déclaré que Solonchenko était un utilisateur prodigieux sur le forum, où il opérait en utilisant le nom d'utilisateur de Solomame (renommé plus tard en barak_obama), et avait vendu les données de centaines de millions d'utilisateurs de plusieurs sociétés.

« Depuis 2020, Solontchenko a vendu des données volées ou obtenues par data scraping à la plus grande banque commerciale d'Ukraine, au plus grand service de livraison privé d'Ukraine et à une société française d'analyse de données », a affirmé Facebook dans des documents judiciaires.

Le réseau social a déclaré qu'il était en mesure de lier Solontchenko à l'utilisateur de RaidForums après que l'accusé ait utilisé le même nom d'utilisateur et les mêmes méthodes de contact sur les portails d'emploi et pour les comptes de messagerie.

« Solonchenko a travaillé en tant que programmeur informatique indépendant avec une expérience de travail dans plusieurs langages de programmation, notamment Python, PHP et Xrumer, qui est un logiciel utilisé pour le spam ; automatiser les tâches sur les émulateurs Android ; et faire du marketing d'affiliation », a déclaré Facebook.

« Jusqu'en juin 2019 ou vers cette date, Solontchenko vendait également des chaussures en ligne sous le nom commercial "Drop Top" », a ajouté Facebook.

Le réseau social demande à un juge d'émettre des injonctions qui interdiraient à Solonchenko d'accéder aux sites Facebook et de vendre davantage de données obtenues de Facebook. Le réseau social réclame également des dommages et intérêts non précisés.

Facebook a retiré la fonctionnalité "Contacter l'importateur" en septembre 2019

L'incident de Solontchenko marque la deuxième collecte de données Facebook qui a été effectuée à l'aide de la fonction Messenger Contact Importer, puis partagée via RaidForums.

En effet, le 3 avril 2021, les numéros de téléphone et les données personnelles de centaines de millions d'utilisateurs de Facebook ont été publiées sur ce même forum. Les données exposées comprenaient les informations personnelles de plus de 533 millions d'utilisateurs Facebook de 106 pays, dont plus de 32 millions d'enregistrements sur les utilisateurs aux États-Unis, 11 millions sur les utilisateurs au Royaume-Uni, 6 millions sur les utilisateurs en Allemagne et près de 20 millions sur les utilisateurs en France. Il s'agissait de leurs numéros de téléphone, identifiants Facebook, noms complets, lieux de résidence, anciens lieux de résidence, dates de naissance, biographies, situation matrimoniale et, dans certains cas, adresses e-mail.

Pour vérifier l’authenticité de ces enregistrements, certains médias ont examiné un échantillon des données divulguées et vérifié plusieurs enregistrements en faisant correspondre les numéros de téléphone des utilisateurs Facebook connus avec les identifiants répertoriés dans l'ensemble de données. Ils ont également vérifié les enregistrements en testant les adresses e-mail à partir de l'ensemble de données de la fonction de réinitialisation du mot de passe de Facebook, qui peut être utilisée pour révéler partiellement le numéro de téléphone d'un utilisateur.

Un porte-parole de Facebook a déclaré que les données avaient été supprimées en raison d'une vulnérabilité corrigée par la société en 2019. Alors qu'elles datent de quelques années, les données divulguées pourraient fournir des informations précieuses aux cybercriminels qui utilisent les informations personnelles des gens pour se faire passer pour eux ou les escroquer selon Alon Gal, CTO de la société de renseignement sur la cybercriminalité Hudson Rock. « Une base de données de cette taille contenant les informations privées telles que les numéros de téléphone de nombreux utilisateurs de Facebook conduirait certainement à des cybercriminels profitant des données pour effectuer des attaques d'ingénierie sociale ou des tentatives de piratage », a déclaré Gal.

La fuite de données a permis de constater que Mark Zuckerberg, le PDG de Facebook, utilise l'application Signal. Le numéro de téléphone de Zuckerberg faisait partie des données divulguées. Outre son numéro de contact, des données telles que son nom, son emplacement, les détails de son mariage, sa date de naissance et son identifiant Facebook ont également été divulgués, selon un rapport en ligne. Dave Walker, un chercheur en sécurité, a révélé que Zuckerberg utilise Signal, information qu’il a obtenu grâce au numéro de téléphone du Zuckerberg qui figurait parmi les données divulguées. C'est le numéro associé à son compte de la récente fuite sur Facebook », a publié l'expert en sécurité sur Twitter avec une capture d'écran du numéro de téléphone de Zuckerberg qui disait : « Mark Zuckerberg est sur Signal. »

Dans le cadre de la fuite du 3 avril, Facebook n'a pas informé son principal organisme de surveillance des données de l'UE lorsqu'il a découvert et corrigé le problème. La Commission irlandaise de la protection des données (DPC) l’aurait appris par la presse, comme tout le monde. Facebook n'a pas non plus informé individuellement les plus de 533 millions d'individus concernés. Au lieu de cela, Facebook a déclaré dans un billet de blog que cette fuite est une vieille histoire. Dans le même billet, l'entreprise semblait faire peser sur les utilisateurs la responsabilité de protéger les données que Facebook lui-même demandait aux utilisateurs de remettre au nom de la « sécurité ».

« Nous pensons que les données en question proviennent des profils Facebook. Les cybercriminels ont utilisé notre importateur de contacts avant septembre 2019. Cette fonctionnalité a été conçue pour aider les gens à trouver facilement leurs amis avec lesquels se connecter sur nos services en utilisant leurs listes de contacts. Lorsque nous avons pris conscience de la façon dont les acteurs malveillants utilisaient cette fonctionnalité en 2019, nous avons apporté des modifications à l'importateur de contacts », a déclaré Facebook.

« Nous l'avons mis à jour pour empêcher les cybercriminels d'utiliser un logiciel pour imiter notre application et télécharger un grand ensemble de numéros de téléphone pour voir lesquels correspondent aux utilisateurs de Facebook. Grâce à la fonctionnalité précédente, ils étaient en mesure d'interroger un ensemble de profils d'utilisateurs et d'obtenir un ensemble limité d'informations sur ces utilisateurs inclus dans leurs profils publics », a ajouté l’entreprise.

Quoi qu'il en soit, quelques jours après cet incident, Facebook a révélé qu'il avait retiré la fonctionnalité Messenger Contact Importer en septembre 2019 après avoir découvert que Solontchenko et d'autres acteurs malveillants en abusaient.

Source : plainte Facebook

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de maxtal
Membre actif https://www.developpez.com
Le 25/10/2021 à 12:10
Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.
6  0 
Avatar de Jules34
Membre expérimenté https://www.developpez.com
Le 25/10/2021 à 15:20
Citation Envoyé par maxtal Voir le message
Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.
Bha non justement, dans un hold up on menace, on braque et tout et tout. Quand la porte est ouverte et qu'on vient se servir c'est vraiment différent. C'est au pire une intrusion dans un système de donnée et encore, je sais pas comment est considéré le scrapping dans le pays ou les faits on été commis (d'ailleurs est ce que ça fonctionne comme ça : le mec scrappe les serveurs de fb, la juridiction qui juge est t'elle celle du pays ou sont les serveurs, celle ou la boite à son siège ou le pays ou le hackeur à hacké ?)
1  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 25/10/2021 à 17:41
Ça me semble légitime de poursuivre l'auteur de ce hold-up, mais je trouve ça étonnant que facebook ne soit pas inquiété pour manquement. C'est eux qui sont responsables de l'intégrité et la sécurités des données de leurs utilisateurs il me semble.
ça dépend de la culture. En France, avec l'affaire Bluetouff on avait atteint le niveau quasi-zéro. Les juges savaient à peine de quoi il s'agissait, et en cassation Bluetouff avait été condamné pour intrusion dans un système informatique, vol de données, etc., pour avoir accédé à des "données confidentielles" indexées par google sur le site de l'ANSES. Données accidentellement publiées en accès public. Les juges étrangement n'avaient pas condamné google pour intrusion alors qu'ils étaient les 1er à l'origine du "crime", ni l'ANSES pour défaut de sécurisation.
À côté de ça, un particulier dont l'IP a téléchargé un torrent est condamné pour défaut de sécurisation !

Quant à condamner l'aspiration de données publiques, ça me semble encore plus bancal. Quelle différence entre utiliser httrack (qui contient aussi quelques contre-mesures anti-bannissement) ou son propre outil ? Il y a un cas où la volonté est malveillante, mais techniquement ça se ressemble diablement, non ?
1  0 
Avatar de tanaka59
Inactif https://www.developpez.com
Le 27/10/2021 à 14:58
Bonjour,

1) D'un point de vu bon sens Facebook est responsable : manque d'anticipation d'un comportement frauduleux et / ou non traitement de celuic. C'est comme ci les pages jaunes laissaient faire un comportement, tout en ayant connaissance > c'est de la négligence manifeste.

2) l'auteur du scrapping a utilisé Facebook de manière détournée.

Si c'est hors charte , c'est donc condamnable.

Exemple : une société de location de vélo, verrait ses vélos utilisés à d'autres usages que ceux prévu en désactivant une borne par exemple ... > Abus de confiance . On utilise abusivement quelque chose de quelqu'un ...
0  0