Une société spécialisée dans les fuites de données a découvert sur AWS deux fort bien fournies bases de données contenant une quantité astronomique d’informations personnelles issues de Facebook. Le tout librement accessible, sans le moindre mot de passe.
Voici des données dont l’ouverture n’était pas souhaitée. Upguard, une entreprise spécialisée dans les fuites de données, rapporte avoir découvert sur les serveurs d’AWS deux bases de données contenant les données d’utilisateurs de Facebook. La première appartenait à une société mexicaine, Cultura Collectiva, et renfermait 146 Go de commentaires, likes, réactions, Facebook IDs, noms de comptes et autres, pour un total de 540 millions d’entrées.
La seconde vient d’une application tierce, At the Pool, fermée en 2014 et dont l’éditeur semble avoir disparu de la circulation. Mais, dans sa base de données, des listes d’utilisateurs, leurs Amis, leurs intérêts, livres, films, musiques, likes, groupes, événements Facebook, etc. Les chercheurs y ont également trouvé 22 000 mots de passe en clair, mais probablement ceux utilisés par les utilisateurs de l’application.
540 millions d’entrées
Chacun de ces ensembles était stocké dans son propre bucket S3 sur AWS, et configuré de sorte à être accessible et téléchargeable sans la moindre sécurité. Les notifications de Upguard à Cultura Collectiva sont restées lettre morte, ce n’est que par l’intervention de Facebook auprès d’Amazon que les données ont finalement été sécurisées. Quant à At the Pool, la base à été mise hors ligne alors que les chercheurs menaient leur enquête.