Ne’er-do-wells a divulgué des données personnelles – y compris des numéros de téléphone – pour quelque 553 millions Facebook utilisateurs cette semaine. Facebook dit les données ont été collectées avant 2020 lorsqu’il a changé les choses pour empêcher que ces informations ne soient supprimées des profils. À mon avis, cela ne fait que renforcer la nécessité de supprimer les numéros de téléphone mobile de tous vos comptes en ligne dans la mesure du possible. En attendant, si vous êtes un Facebook produit utilisateur et souhaitez savoir si vos données ont été divulguées, il existe des moyens simples de le savoir.
le J’ai été pris projet, qui collecte et analyse des centaines de vidages de bases de données contenant des informations sur des milliards de comptes divulgués, a incorporé les données dans son service. Les utilisateurs de Facebook peuvent entrer le numéro de mobile (au format international) associé à leur compte et voir si ces chiffres ont été exposés dans le nouveau vidage de données (HIBP ne vous montre aucune donnée, vous donne simplement un oui/non pour savoir si vos données s’affichent en haut). 
Le numéro de téléphone associé à mon compte Facebook décédé (que j’ai supprimé en janvier 2020) n’était pas dans HaveIBeenPwned, mais encore une fois, Facebook prétend avoir plus de 2,7 milliards d’utilisateurs mensuels actifs.
Il semble qu’une grande partie de cette base de données ait fait le tour de la cybercriminalité sous une forme ou une autre depuis au moins l’été dernier. Selon un message Twitter du 14 janvier 2021 de Under the Breach’s Alon Galla base de données de 533 millions de comptes Facebook a été mise en vente pour la première fois en juin 2020, offrant des données de profil Facebook de 100 pays, y compris le nom, le numéro de téléphone portable, le sexe, la profession, la ville, le pays et l’état civil.
Sous la brèche a également dit en janvier que quelqu’un avait créé un bot Telegram permettant aux utilisateurs d’interroger la base de données pour une somme modique et permettant aux gens de trouver les numéros de téléphone liés à un grand nombre de comptes Facebook.
Une annonce de forum sur la cybercriminalité de juin 2020 vendant une base de données de 533 millions d’utilisateurs de Facebook. Image : @UnderTheBreach
Beaucoup de gens ne considèrent peut-être pas leur numéro de téléphone portable comme une information privée, mais il existe un monde de misère que les méchants, les harceleurs et les creeps peuvent visiter dans votre vie simplement en connaissant votre numéro de portable. Bien sûr, ils pourraient vous appeler et vous harceler de cette façon, mais il est plus probable qu’ils verront combien de vos autres comptes – chez les principaux fournisseurs de messagerie et les sites de réseaux sociaux comme Facebook, Twitter, Instagrampar exemple — compter sur ce nombre pour les réinitialisations de mot de passe.
À partir de là, la cible est préparée pour une attaque par échange de carte SIM, où les voleurs trompent ou soudoient les employés des magasins de téléphonie mobile pour qu’ils transfèrent la propriété du numéro de téléphone de la cible à un appareil mobile contrôlé par les attaquants. À partir de là, les malfaiteurs peuvent réinitialiser le mot de passe de n’importe quel compte auquel ce numéro de mobile est lié et, bien sûr, intercepter tous les jetons uniques envoyés à ce numéro à des fins d’authentification multifacteur.
Ou les attaquants profitent d’autres failles de confidentialité et de sécurité dans la manière dont les messages texte SMS sont traités. Le mois dernier, un chercheur en sécurité a montré à quel point il était facile d’abuser de services visant à aider les célébrités à gérer leurs profils de médias sociaux pour intercepter les messages SMS de tout utilisateur mobile. Cette faiblesse est censée avoir été corrigée pour tous les principaux opérateurs de téléphonie mobile, mais cela vous fait vraiment douter de la raison de s’appuyer sur l’équivalent Internet des cartes postales (SMS) pour gérer en toute sécurité des informations assez sensibles.
Mon conseil a longtemps été de supprimer les numéros de téléphone de vos comptes en ligne partout où vous le pouvez et d’éviter de sélectionner des SMS ou des appels téléphoniques pour des codes de second facteur ou à usage unique. Les numéros de téléphone n’ont jamais été conçus pour être des documents d’identité, mais c’est effectivement ce qu’ils sont devenus. Il est temps que nous arrêtions de laisser tout le monde les traiter de cette façon.
Tous les comptes en ligne que vous appréciez doivent être sécurisés avec un mot de passe unique et fort, ainsi que la forme la plus robuste d’authentification multifacteur disponible. Habituellement, il s’agit d’une application mobile comme Authy ou Google Authenticator qui génère un code à usage unique. Certains sites comme Twitter et Facebook prennent désormais en charge des options encore plus robustes, telles que les clés de sécurité physiques.
La suppression de votre numéro de téléphone peut être encore plus importante pour tous les comptes de messagerie que vous pourriez avoir. Inscrivez-vous à n’importe quel service en ligne, et il vous faudra presque certainement fournir une adresse e-mail. Dans presque tous les cas, la personne qui contrôle cette adresse peut réinitialiser le mot de passe de tous les services ou comptes associés, simplement en demandant un e-mail de réinitialisation du mot de passe.
Malheureusement, de nombreux fournisseurs de messagerie permettent toujours aux utilisateurs de réinitialiser les mots de passe de leur compte en envoyant un lien par SMS au numéro de téléphone enregistré pour le compte. Supprimez donc le numéro de téléphone en tant que sauvegarde pour votre compte de messagerie et assurez-vous qu’un deuxième facteur plus robuste est sélectionné pour toutes les options de récupération de compte disponibles.
Voici le problème : la plupart des services en ligne exigent que les utilisateurs fournissent un numéro de téléphone mobile lors de la création du compte, mais n’exigent pas que le numéro reste associé au compte après sa création. Je conseille aux lecteurs de supprimer leurs numéros de téléphone des comptes dans la mesure du possible et de profiter d’une application mobile pour générer des codes à usage unique pour l’authentification multifacteur.
Pourquoi BreachTrace a-t-il supprimé son compte Facebook au début de l’année dernière ? Bien sûr, cela pourrait avoir quelque chose à voir avec le flux incessant de violations, de fuites et de trahisons de la vie privée par Facebook au fil des ans. Mais ce qui m’a vraiment dérangé, c’est le nombre de personnes qui se sentaient à l’aise de partager des informations extrêmement sensibles avec moi sur des choses comme Facebook Messenger, tout en s’attendant à ce que je puisse garantir la confidentialité et la sécurité de ce message simplement en raison de ma présence sur la plate-forme. .
Au cas où les lecteurs voudraient entrer en contact pour une raison quelconque, mon email ici est breachtrace chez gmail point comou breachtrace sur protonmail.com.