Facebook a ignoré une vulnérabilité permettant aux attaquants de lier des e-mails à des comptes

Un chercheur en sécurité a trouvé une vulnérabilité utilisateur dans Facebook qui lui permet de lier correctement l’e-mail au compte de l’utilisateur. Facebook a d’abord rejeté le rapport de bug, ce qui a forcé le chercheur à le révéler aux médias.

Il y a à peine un mois, une base de données contenant des millions d’entrées était apparue en ligne. Et avant cela, un bug dans une API Facebook permettait aux attaquants d’identifier les numéros de téléphone appartenant aux utilisateurs de Facebook. Aujourd’hui, l’entreprise traverse un autre problème important, alors qu’un chercheur en sécurité a trouvé un moyen de lier des adresses e-mail à des comptes Facebook. Par défaut, les e-mails liés aux comptes ne sont pas accessibles au public.

Alors que Facebook a choisi d’ignorer le rapport, affirmant que ce n’était pas un véritable problème, le chercheur en sécurité décide de faire une vidéo dans laquelle il montre comment fonctionne une application nommée Facebook Email Search v1.0. En théorie, l’application pourrait relier jusqu’à 5 millions de comptes par jour. Le chercheur a partagé la vidéo avec Ars Technica à la condition qu’elle ne soit pas publiée.

La démonstration a été faite sur une liste de 65 000 adresses e-mail, que le chercheur a introduites dans le programme.

«Comme vous pouvez le voir dans le journal d’activité ici, j’obtiens une quantité significative de résultats», a déclaré le chercheur. «J’ai dépensé à peine 10 $ pour acheter environ 200 comptes Facebook. Et en trois minutes, j’ai réussi à faire cela pour 6 000 comptes de messagerie. »

Suite à la publication de ces informations, Facebook a reconsidéré sa position et a déclaré qu’il avait rejeté par erreur les affirmations du chercheur et déclaré qu’il s’efforçait de résoudre le problème.

“Il semble que nous ayons fermé par erreur ce rapport de bug avant de le transmettre à l’équipe qui convient”, a déclaré Facebook. «Nous apprécions que le chercheur partage ses informations et prenons les premières mesures pour atténuer ce problème tout en assurant un suivi pour mieux comprendre ses conclusions.»