Des centaines de millions de Facebook les utilisateurs avaient leurs mots de passe de compte stockés en texte brut et consultables par des milliers d’employés de Facebook – dans certains cas remontant à 2012, a appris BreachTrace. Facebook affirme qu’une enquête en cours n’a jusqu’à présent trouvé aucune indication que des employés aient abusé de l’accès à ces données.
Facebook enquête sur une série de failles de sécurité dans lesquelles les employés ont créé des applications qui enregistraient des données de mot de passe non chiffrées pour les utilisateurs de Facebook et les stockaient en texte brut sur les serveurs internes de l’entreprise. C’est selon un haut responsable de Facebook qui connaît l’enquête et qui a parlé sous le couvert de l’anonymat parce qu’il n’était pas autorisé à parler à la presse.
La source Facebook a déclaré que l’enquête indique jusqu’à présent qu’entre 200 et 600 millions d’utilisateurs de Facebook pourraient avoir vu leurs mots de passe de compte stockés en texte brut et consultables par plus de 20 000 employés de Facebook. La source a déclaré que Facebook essaie toujours de déterminer combien de mots de passe ont été exposés et pendant combien de temps, mais jusqu’à présent, l’enquête a découvert des archives avec des mots de passe utilisateur en texte brut datant de 2012.
Mon initié Facebook a déclaré que les journaux d’accès montraient que quelque 2 000 ingénieurs ou développeurs avaient effectué environ neuf millions de requêtes internes pour des éléments de données contenant des mots de passe utilisateur en texte brut.
« Plus nous approfondissons cette analyse, plus les juristes sont à l’aise [at Facebook] vont avec les limites inférieures »des utilisateurs concernés, a déclaré la source. « En ce moment, ils s’efforcent de réduire encore plus ce nombre en ne comptant que les éléments que nous avons actuellement dans notre entrepôt de données. »
Dans une interview avec BreachTrace, ingénieur logiciel Facebook Scott Renfro a déclaré que l’entreprise n’était pas prête à parler de chiffres spécifiques, tels que le nombre d’employés de Facebook qui auraient pu accéder aux données.
Renfro a déclaré que la société prévoyait d’alerter les utilisateurs Facebook concernés, mais qu’aucune réinitialisation de mot de passe ne serait nécessaire.
« Nous n’avons trouvé aucun cas jusqu’à présent dans nos enquêtes où quelqu’un cherchait intentionnellement des mots de passe, et nous n’avons pas non plus trouvé de signes d’utilisation abusive de ces données », a déclaré Renfro. « Dans cette situation, nous avons découvert que ces mots de passe avaient été enregistrés par inadvertance, mais qu’il n’y avait aucun risque réel qui en découlait. Nous voulons nous assurer que nous réservons ces étapes et ne forçons un changement de mot de passe que dans les cas où il y a certainement eu des signes d’abus.
Une déclaration écrite de Facebook fournie à BreachTrace indique que la société prévoit d’informer « des centaines de millions d’utilisateurs de Facebook Lite, des dizaines de millions d’autres utilisateurs de Facebook et des dizaines de milliers d’utilisateurs d’Instagram ». Facebook Lite est une version de Facebook conçue pour connexions bas débit et téléphones bas de gamme.
Tous les deux GithubGenericName et Twitter ont été forcés d’admettre des trébuchements similaires ces derniers mois, mais dans ces deux cas, les mots de passe des utilisateurs en texte brut étaient disponibles pour un nombre relativement restreint de personnes au sein de ces organisations, et pour des périodes de temps beaucoup plus courtes.
Renfro a déclaré que le problème est apparu pour la première fois en janvier 2019 lorsque des ingénieurs en sécurité examinant un nouveau code ont remarqué que des mots de passe étaient enregistrés par inadvertance en texte brut.
« Cela a incité l’équipe à mettre en place un petit groupe de travail pour s’assurer que nous effectuions un examen général de tout ce qui pourrait se produire », a déclaré Renfro. «Nous avons mis en place un tas de contrôles pour essayer d’atténuer ces problèmes, et nous sommes en train d’enquêter sur les changements d’infrastructure à long terme pour empêcher que cela ne se reproduise. Nous examinons maintenant tous les journaux que nous avons pour voir s’il y a eu un abus ou un autre accès à ces données.
Les problèmes de mot de passe de Facebook surviennent au milieu d’un mois difficile pour le réseau social. La semaine dernière, Le New York Times signalé que les procureurs fédéraux mènent une enquête criminelle sur les accords de données que Facebook a conclus avec certaines des plus grandes entreprises technologiques du monde.
Plus tôt en mars, Facebook a essuyé des tirs d’experts en sécurité et en confidentialité pour l’utilisation de numéros de téléphone fournis pour des raisons de sécurité – comme l’authentification à deux facteurs – pour autres choses (comme le marketing, la publicité et rendre les utilisateurs consultables par leurs numéros de téléphone sur les différentes plateformes du réseau social).
Mise à jour, 11h43 : Facebook a publié une déclaration sur cet incident ici.