Facebook a découvert un problème de sécurité qui permettait aux pirates d’accéder à des informations qui auraient pu leur permettre de prendre en charge environ 50 millions de comptes, a annoncé ce vendredi.
Facebook a déclaré dans un article de blog que son équipe d’ingénieurs avait découvert que les attaquants avaient identifié mardi une faiblesse du code de Facebook concernant sa fonctionnalité “Afficher en tant que”.
“Afficher en tant que” permet aux utilisateurs de voir à quoi ressemble leur profil aux autres utilisateurs de la plate-forme. Cette vulnérabilité a également permis aux pirates d’obtenir des jetons d’accès – des clés numériques permettant aux utilisateurs de rester connectés au service sans avoir à ressaisir leur mot de passe – qui pourrait être utilisé pour contrôler les comptes d’autres personnes.
Près de 50 millions de comptes ont eu leurs jetons d’accès et Facebook a réinitialisé ces jetons. La société a également réinitialisé 40 millions de comptes supplémentaires ayant utilisé la fonctionnalité “Afficher en tant que” l’année dernière par mesure de précaution, pour un total de 90 millions de comptes, soit environ 4% du nombre total d’utilisateurs actifs en juin.
La réinitialisation exigera que ces utilisateurs saisissent à nouveau leur mot de passe lorsqu’ils reviennent sur Facebook ou accèdent à une application qui utilise la connexion Facebook. Ils recevront également une notification en haut de leur fil d’actualité expliquant ce qui s’est passé.
En outre, la société a suspendu la fonction “Afficher en tant que” tout en examinant sa sécurité, en corrigeant le problème jeudi soir et en informant les forces de l’ordre, y compris le FBI.
Facebook a déclaré qu’il venait de commencer son enquête et n’a pas déterminé si des informations avaient été utilisées de manière abusive, mais l’enquête initiale n’a pas montré que des informations avaient été utilisées. Les pirates ont interrogé le système d’API de Facebook pour obtenir plus d’informations sur les utilisateurs, mais il n’est pas sûr que ces données aient été utilisées par les pirates. Il ne sait pas qui a orchestré le hack ou où la ou les personnes sont basées
La société a déclaré qu’il n’était pas nécessaire de modifier les mots de passe et que si des comptes supplémentaires étaient affectés, elle réinitialiserait immédiatement le jeton d’accès de cet utilisateur.
CNBC
