Une entreprise de données basée à Washington qui a créé 48 millions de profils personnels en récupérant des données sur des sites Web de médias sociaux a divulgué les données publiquement, selon un rapport de ZDnet.
Le site affirme que la société LocalBox a laissé les données de profil dans un compartiment de stockage Amazon S3 public (mais non répertorié), où il n'était pas protégé par un mot de passe et a finalement été découvert par Chris Vickery, directeur de la recherche sur les risques informatiques chez UpGuard.
Selon UpGuard, le compartiment contenait un seul fichier compressé qui, une fois extrait, a révélé un fichier de 1,2 To de données publiques.
L'ensemble de données "combine des informations personnelles standard telles que le nom et l'adresse, avec des données sur l'utilisation d'Internet par la personne, telles que ses historiques LinkedIn et ses flux Twitter".
"Cette combinaison commence à construire une image en trois dimensions de chaque individu affecté - qui il est, de quoi il parle, ce qu'il aime, même ce qu'il qu'ils font pour gagner leur vie - essentiellement un plan à partir duquel créer un contenu persuasif ciblé, comme la publicité ou la campagne politique », le rapport continue.
La société de sécurité aurait alerté LocalBox de la fuite le 28 février, et le seau a été sécurisé quelques heures plus tard.
Le directeur de la technologie de LocalBox, Ashfaq Rahman, a déclaré à ZDnet dans un e-mail qu'"aucune autre personne n'aurait accédé à ce fichier à partir du compartiment S3".
Lors d'un appel téléphonique précédent, il a déclaré au site que Vickery avait "piraté" le compartiment S3 accessible au public et a également contesté le nombre de profils publics dans l'ensemble de données, affirmant que la plupart d'entre eux fabriquaient des données utilisées pour essai.
Le mois dernier, Facebook s'est retrouvé dans l'eau chaude après que le dénonciateur Christopher Wylie a accusé la société de données Cambridge Analytica de récolter les données de 50 millions d'utilisateurs de Facebook d'influencer les résultats du référendum européen et de l'élection présidentielle américaine.
Depuis, le réseau social a dévoilé un série de changements à ses API, empêchant les développeurs d'accéder aux données personnelles.
Le site a également désactivé l'option de recherche de profils Facebook par e-mail ou numéro de téléphone, affirmant que la fonctionnalité avait été "abusée" par des acteurs malveillants.
Voir liés
"Compte tenu de l'ampleur et de la sophistication de l'activité que nous avons constatée, nous pensons que la plupart des utilisateurs de Facebook auraient pu voir leur profil public supprimé de cette manière. Nous avons donc maintenant désactivé cette fonctionnalité », a déclaré le directeur technique de Facebook, Mike Schroepfer.
À partir de la fin du mois de mai, l'UE introduira des règles beaucoup plus strictes en matière de confidentialité des données, car Le RGPD entre en vigueur. Mardi, Facebook a annoncé qu'il offrira une protection plus large de la vie privée à tous ses utilisateurs, pas seulement à ceux de l'UE.
"Tout le monde - peu importe où il vit - sera invité à examiner des informations importantes sur la façon dont Facebook utilise les données et à faire des choix concernant sa vie privée sur Facebook", explique l'annonce.
