Deux caches de données sur des millions d'utilisateurs de Facebook ont récemment été découverts sur des serveurs en nuage non protégés.

Au cours d'une faille de sécurité, pas moins de 540 millions d'enregistrements d'utilisateurs de Facebook ont été trouvés dans le nuage. Cela comprenait les ID de compte, les noms, les goûts, les commentaires et d'autres données, selon un rapport de la société de cybersécurité UpGuard, qui a trouvé les dossiers. Les données avaient été collectées par un éditeur numérique basé au Mexique, Cultura Colectiva, via son application Facebook intégrée.

L'ensemble des données, pesant 146 Go, a été trouvé caché à la vue de tous - sur un serveur de stockage Amazon S3 sans mot de passe requis. Bien qu'elle ait été alertée à plusieurs reprises depuis début janvier par UpGuard et Amazon, Cultura Colectiva n'a pas réussi à sécuriser le serveur. Apparemment, ce n'est que mercredi - après que Bloomberg eut contacté Facebook, qui, à son tour, a pris contact avec Amazon - que la situation a été corrigée.

Reuters, citant un porte-parole de Facebook ayant déclaré que le réseau social avait travaillé avec Amazon pour supprimer les bases de données dès qu'il a été mis au courant du problème. Le porte-parole a également déclaré que « les politiques de Facebook interdisent le stockage des informations Facebook dans une base de données publique. »

Par ailleurs, Cultura Colectiva a déclaré au fil de presse que tous les enregistrements provenaient d'interactions d'utilisateurs avec ses trois pages sur Facebook et représentent la même information qui est publiquement accessible à quiconque navigue sur ces pages.

« Ni les données sensibles ni les données privées, comme les courriels ou les mots de passe, ne figuraient parmi celles-là parce que nous n'avons pas accès à ce genre de données, de sorte que nous n'avons pas mis en danger la vie privée et la sécurité de nos utilisateurs, » affirme Cultura Colectiva.

Bien qu'aucun mot de passe d'utilisateur n'ait été mal géré dans cette faille de sécurité, ce n'était pas le cas lors du deuxième incident, qui impliquait une autre application intégrée à Facebook, nommée « At the Pool ». Dans ce cas, les mots de passe de quelque 22 000 personnes ont été stockés en texte clair par les développeurs de l'application, avec les noms, adresses électroniques, ID Facebook et autres détails.

« Les mots de passe sont vraisemblablement ceux de l'application At the Pool, plutôt du compte Facebook de l'utilisateur, mais les utilisateurs qui ont réutilisé le même mot de passe d'un compte à l'autre pourrait être en danger, » selon UpGuard.

Les données ont été exposées au public pendant une période de temps inconnue - jusqu'à ce qu'elles soient retirées au milieu de l'enquête de l'entreprise sur l'origine des documents. L'application est inactive depuis 2014 et sa société mère est plus susceptible d'avoir fermé boutique.