Facebook a déclaré aujourd’hui que quelque 90 millions de ses utilisateurs pourraient être déconnectés de force de leurs comptes après que la société ait corrigé une faille de sécurité plutôt flagrante sur son site Web qui aurait pu permettre à des attaquants de détourner des profils d’utilisateurs.
Dans un court article de blog publié cet après-midi, Facebook a déclaré que les pirates exploitaient une vulnérabilité dans le code du site de Facebook qui a eu un impact sur une fonctionnalité appelée « Afficher en tant que », qui permet aux utilisateurs de voir comment leur profil apparaît aux autres.
« Cela leur a permis de voler des jetons d’accès à Facebook qu’ils pourraient ensuite utiliser pour prendre le contrôle des comptes des gens », a écrit Facebook. « Les jetons d’accès sont l’équivalent des clés numériques qui permettent aux utilisateurs de rester connectés à Facebook afin qu’ils n’aient pas besoin de saisir à nouveau leur mot de passe chaque fois qu’ils utilisent l’application. »
Facebook a déclaré qu’il supprimait la fonction non sécurisée « Afficher en tant que » et réinitialisait les jetons d’accès de 50 millions de comptes dont la société a déclaré qu’ils savaient qu’ils étaient affectés, ainsi que les jetons de 40 millions d’utilisateurs supplémentaires qui auraient pu être touchés au cours de l’année écoulée. .
La société a déclaré qu’elle ne faisait que commencer son enquête et qu’elle ne connaissait pas encore certains faits de base sur l’incident, comme si ces comptes avaient été utilisés à mauvais escient, si des informations privées avaient été consultées ou qui pourrait être responsable de ces attaques.
Bien que Facebook ne l’ait pas mentionné dans son message, une autre question majeure sans réponse à propos de cet incident est de savoir si les jetons d’accès auraient pu permettre aux attaquants de se connecter de manière interactive à des sites tiers en tant qu’utilisateur. Des dizaines de milliers de sites Web permettent aux utilisateurs de se connecter en utilisant uniquement les informations d’identification de leur profil Facebook. Si les utilisateurs se sont déjà connectés à des sites tiers à l’aide de leur profil Facebook, il y a de fortes chances que les attaquants aient également eu accès à ces sites tiers.
J’ai demandé des éclaircissements à Facebook sur ce point et je mettrai à jour ce message quand et si je reçois une réponse. Cependant, je me serais attendu à ce que Facebook mentionne cela comme un facteur atténuant si les connexions autorisées sur des sites tiers étaient ne pas impacté.
Mise à jour : 16 h 46 HE : Un porte-parole de Facebook a confirmé que s’il était techniquement possible qu’un attaquant ait abusé de ce bogue pour cibler des applications et des sites tiers qui utilisent des connexions Facebook, la société n’a jusqu’à présent aucune preuve que cela se soit produit.
« Nous avons invalidé l’accès aux données pour les applications tierces pour les personnes concernées », a déclaré le porte-parole, faisant référence aux 90 millions de comptes qui ont été déconnectés de force aujourd’hui et présentés avec une notification concernant l’incident en haut de leur flux.
Histoire originale :
Facebook affirme que les utilisateurs n’ont pas besoin de réinitialiser leurs mots de passe à la suite de cette violation, bien que ce soit certainement une option.
Plus important encore, c’est une bonne idée pour tous les utilisateurs de Facebook de revoir leur activité de connexion. Cette page devrait vous permettre de voir quels appareils sont connectés à votre compte et approximativement où ces appareils se trouvent actuellement dans le monde. Cette page a également une option pour forcer une déconnexion simultanée de tous les appareils connectés à votre compte.