Ne’er-do-wells a divulgué des données personnelles – y compris des numéros de téléphone – pour quelque 553 millions de personnes Facebook utilisateurs cette semaine. Facebook dit les données ont été collectées avant 2020, date à laquelle elles ont changé les choses pour éviter que de telles informations ne soient supprimées des profils. À mon avis, cela ne fait que renforcer la nécessité de supprimer les numéros de téléphone mobile de tous vos comptes en ligne dans la mesure du possible. En attendant, si vous êtes un Facebook produit et que vous souhaitez savoir si vos données ont été divulguées, il existe des moyens simples de le savoir.
le HaveIBeenPwned projet, qui collecte et analyse des centaines de vidages de bases de données contenant des informations sur des milliards de comptes divulgués, a a incorporé les données à son service. Les utilisateurs de Facebook peuvent entrer le numéro de mobile (au format international) associé à leur compte et voir si ces chiffres ont été exposés dans le nouveau vidage de données (HIBP ne vous montre aucune donnée, vous donne simplement un oui / non pour savoir si vos données montrent en haut). 
Le numéro de téléphone associé à mon dernier compte Facebook (que j’ai supprimé en janvier 2020) n’était pas dans HaveIBeenPwned, mais là encore, Facebook prétend avoir plus de 2,7 milliards d’utilisateurs mensuels actifs.
Il semble qu’une grande partie de cette base de données se moque de la cybercriminalité sous une forme ou une autre depuis au moins l’été dernier. Selon un post Twitter du 14 janvier 2021 de Under the Breach’s Alon Gal, la base de données de 533 millions de comptes Facebook a été mise en vente pour la première fois en juin 2020, offrant des données de profil Facebook de 100 pays, y compris le nom, le numéro de téléphone portable, le sexe, la profession, la ville, le pays et l’état matrimonial.
Sous la brèche a également dit en janvier que quelqu’un avait créé un robot Telegram permettant aux utilisateurs d’interroger la base de données pour un prix modique, et permettant aux gens de trouver les numéros de téléphone liés à un grand nombre de comptes Facebook.
Une annonce de forum sur la cybercriminalité de juin 2020 vendant une base de données de 533 millions d’utilisateurs Facebook. Image: @UnderTheBreach
Beaucoup de gens ne considèrent pas leur numéro de téléphone portable comme une information privée, mais il existe un monde de misère que les méchants, les harceleurs et les creeps peuvent visiter dans votre vie simplement en connaissant votre numéro de téléphone portable. Bien sûr, ils pourraient vous appeler et vous harceler de cette façon, mais ils verront plus probablement combien de vos autres comptes – chez les principaux fournisseurs de messagerie et les sites de réseaux sociaux comme Facebook, Twitter, Instagram, par exemple – comptez sur ce nombre pour les réinitialisations de mot de passe.
À partir de là, la cible est préparée pour une attaque par échange de carte SIM, où des voleurs trompent ou soudoyent les employés des magasins de téléphonie mobile pour qu’ils transfèrent la propriété du numéro de téléphone de la cible à un appareil mobile contrôlé par les attaquants. À partir de là, les méchants peuvent réinitialiser le mot de passe de tout compte auquel ce numéro de mobile est lié, et bien sûr intercepter tous les jetons uniques envoyés à ce numéro à des fins d’authentification multifacteur.
Ou les attaquants profitent d’une autre faille de confidentialité et de sécurité dans la façon dont les messages texte SMS sont traités. Le mois dernier, un chercheur en sécurité a montré à quel point il était facile de services d’abus visant à aider les célébrités à gérer leurs profils sur les réseaux sociaux pour intercepter les SMS de tout utilisateur mobile. Cette faiblesse a prétendument été corrigée pour tous les principaux opérateurs de téléphonie sans fil maintenant, mais cela vous fait vraiment remettre en question le bon sens de s’appuyer sur l’équivalent Internet des cartes postales (SMS) pour gérer en toute sécurité des informations assez sensibles.
Mon conseil est depuis longtemps de supprimer les numéros de téléphone de vos comptes en ligne partout où vous le pouvez, et d’éviter de sélectionner les SMS ou les appels téléphoniques comme deuxième facteur ou codes à usage unique. Les numéros de téléphone étaient jamais conçu pour être des documents d’identité, mais c’est effectivement ce qu’ils sont devenus. Il est temps que nous arrêtions de laisser tout le monde les traiter de cette façon.
Tous les comptes en ligne que vous appréciez doivent être sécurisés avec un mot de passe unique et fort, ainsi qu’avec la forme d’authentification multifacteur la plus robuste disponible. Il s’agit généralement d’une application mobile comme Authy ou Google Authenticator qui génère un code à usage unique. Certains sites comme Twitter et Facebook prennent désormais en charge des options encore plus robustes, telles que clés de sécurité physiques.
La suppression de votre numéro de téléphone peut être encore plus importante pour tous les comptes de messagerie que vous pourriez avoir. Inscrivez-vous à n’importe quel service en ligne et il vous faudra presque certainement fournir une adresse e-mail. Dans presque tous les cas, la personne qui contrôle cette adresse peut réinitialiser le mot de passe de tout service ou compte associé, simplement en demandant un e-mail de réinitialisation de mot de passe.
Malheureusement, de nombreux fournisseurs de messagerie permettent toujours aux utilisateurs de réinitialiser les mots de passe de leur compte en envoyant un lien par SMS au numéro de téléphone enregistré pour le compte. Supprimez donc le numéro de téléphone en tant que sauvegarde de votre compte de messagerie et assurez-vous qu’un deuxième facteur plus robuste est sélectionné pour toutes les options de récupération de compte disponibles.
Voici la chose: la plupart des services en ligne exigent que les utilisateurs fournissent un numéro de téléphone mobile lors de la configuration du compte, mais ne nécessitent pas que le numéro reste associé au compte après sa création. Je conseille les lecteurs pour supprimer leurs numéros de téléphone des comptes dans la mesure du possible, et de tirer parti d’une application mobile pour générer des codes à usage unique pour l’authentification multifactorielle.
Pourquoi KrebsOnSecurity a-t-il supprimé son compte Facebook au début de l’année dernière? Bien sûr, cela pourrait avoir quelque chose à voir avec le flux incessant de violations, de fuites et de trahisons de la vie privée par Facebook au fil des ans. Mais ce qui m’a vraiment dérangé, c’est le nombre de personnes qui se sentaient à l’aise de partager des informations extrêmement sensibles avec moi sur des choses comme Facebook Messenger, tout en s’attendant à ce que je puisse garantir la confidentialité et la sécurité de ce message simplement en vertu de ma présence sur la plate-forme. .
Au cas où les lecteurs souhaiteraient entrer en contact pour quelque raison que ce soit, mon e-mail est krebsonsecurity chez gmail dot com, ou krebsonsecurity sur protonmail.com. Je réponds aussi à Krebswickr sur la plateforme de messagerie cryptée Wickr.
*** Ceci est un blog syndiqué Security Bloggers Network de Krebs sur la sécurité rédigé par BrianKrebs. Lisez l’article original sur: https://krebsonsecurity.com/2021/04/are-you-one-of-the-533m-people-who-got-facebooked/
