Le réseau social fait le point sur son enquête suite à son piratage, révélé fin septembre. Si le nombre de comptes compromis est moindre que ce que Facebook craignait, le panel de données personnelles dérobées est fort complet.
L’enquête de Facebook sur son piratage progresse. Le réseau social a fait le point dans un post de blog et rapporte que ce ne sont pas 50 millions de comptes qui ont été compromis, comme initialement craint, mais 29 millions. Facebook explique néanmoins ne pas encore avoir déterminé si des attaques à plus petite échelle exploitant cette vulnérabilité ont eu lieu : les investigations sont toujours en cours. Le FBI, qui enquête de son côté, a demandé à l’entreprise de ne pas communiquer sur l’identité des attaquants. Ce qui implique que nous aurons droit d’ici quelques jours aux premières « fuites » dans la presse américaine et au florilège habituel des attributions.
Si le réseau social n’a pas non plus indiqué la localisation géographique des victimes, il fournit de plus amples informations sur la nature des données dérobées et le modus operandi des hackers. « Premièrement, les assaillants contrôlaient déjà un ensemble de comptes connectés à des amis Facebook. Ils ont utilisé une technique automatisée pour passer d'un compte à l'autre afin de voler les jetons d'accès de ces amis et des amis de ces amis, pour un total d'environ 400 000 personnes » écrit l’entreprise. Pour ces personnes, les attaquants ont notamment eu accès aux « publications sur leurs calendriers, leurs listes d'amis, les groupes dont ils sont membres et les noms des dernières conversations Messenger ». Le contenu des messages a été épargné, sauf dans le cas où la victime est admin d’une Page et que ladite page reçoive des messages privés.
Des données très personnelles
Partant de ces 400 000 personnes, les attaquants ont pu voler les « tokens » de 29 millions de personnes. Pour 15 millions d’entre eux, les noms et informations de contact (numéro de téléphone et adresse email) ont pu être dérobés. 14 millions d’autres utilisateurs ont vu les attaquants avoir accès à de nombreuses données : nom, numéro de téléphone, adresse email, genre, situation sentimentale, lieu de naissance, langue, ville actuelle, date de naissance, religion, profession, cursus scolaire, les types d'appareils utilisés pour accéder à Facebook, les Pages et les personnes suivies, les 15 recherches les plus récentes ainsi que les 10 derniers lieux dans lesquels ils ont été tagués.
Soit un éventail fort large de détails de la vie privée des victimes, de quoi faciliter de futures attaques par ingénierie sociale. Facebook précise que des messages d’alerte plus précis seront envoyés aux utilisateurs concernés dans les prochains jours.