Fuite de 533 M d'enregistrements Facebook collectés par scraping

Les données de 533 millions d'utilisateurs Facebook de 106 pays — dont numéros de téléphone, identifiants Facebook, noms complets, localisations, dates de naissance et certaines adresses e-mail — ont été publiées gratuitement sur un forum de piratage de bas niveau. Ces données avaient été collectées via une faille de l'importateur de contacts corrigée par Facebook en 2019.

Le 3 avril 2021, un jeu de données contenant les informations personnelles de 533 millions d'utilisateurs Facebook répartis dans 106 pays a été publié gratuitement sur un forum de piratage de bas niveau. Révélé publiquement par le chercheur en sécurité Alon Gal, ce trésor comprenait des numéros de téléphone, des identifiants Facebook, des noms complets, des localisations, des dates de naissance, des statuts relationnels et — pour une partie — des adresses e-mail. Il représentait environ 20 % de la base d'utilisateurs de Facebook à l'époque.

Ce qui s'est passé

Les données n'ont pas été dérobées lors d'une intrusion classique. Elles ont été collectées par scraping en détournant la fonction d'importateur de contacts de Facebook, conçue pour aider les utilisateurs à retrouver des amis en téléversant leurs contacts téléphoniques. En alimentant l'importateur avec d'énormes listes de numéros de téléphone et en récoltant les données de profil correspondantes renvoyées, les attaquants ont pu associer des millions de numéros de téléphone à de véritables comptes Facebook et à leurs champs de profil public.

Le scraping a eu lieu avant septembre 2019, date à laquelle Facebook a identifié la faille et corrigé le comportement de l'importateur de contacts. Le jeu de données a ensuite circulé de manière privée sur les marchés criminels — accessible à un moment via un robot de recherche payant sur Telegram — avant d'être divulgué en intégralité et gratuitement en avril 2021.

Ce qui a été exposé

Les enregistrements comprenaient, selon l'utilisateur :

Numéro de téléphone (le champ central et le plus dommageable, les numéros de téléphone étant rarement modifiés et largement utilisés pour la récupération de compte et le ciblage par SIM-swapping).
Identifiant Facebook, nom complet, sexe et localisation/ville d'origine.
Date de naissance et statut relationnel.
Adresse e-mail pour une minorité d'enregistrements.

Il est à noter que les mots de passe et les données financières ne faisaient pas partie du jeu de données.

Impact

533 millions d'utilisateurs exposés, dont environ 32 millions aux États-Unis, 11 millions au Royaume-Uni et des millions d'autres en Europe, au Moyen-Orient et en Asie.
Les numéros de téléphone étant des identifiants durables, la fuite a alimenté des campagnes de smishing, hameçonnage et SIM-swapping pendant des années.
Facebook a refusé de notifier les personnes concernées, arguant que les données avaient été collectées par scraping et non piratées — une position largement critiquée.
En novembre 2022, la Commission irlandaise de protection des données a infligé à Meta une amende de 265 millions d'euros (~290 millions de dollars) pour ne pas avoir mis en œuvre de mesures de protection des données dès la conception et par défaut, conformément au RGPD.

Pourquoi c'est important

L'incident a tracé une ligne publique nette entre le « piratage » et le « scraping » — tout en révélant à quel point cette distinction importe peu aux utilisateurs concernés. Que les données soient exfiltrées par une intrusion ou systématiquement extraites via une fonction légitime détournée, le préjudice est identique une fois les données diffusées publiquement. L'affaire a établi que les fonctions de recherche énumérables constituent une surface de violation à part entière, que les plateformes peuvent être tenues responsables au titre du RGPD pour ne pas avoir conçu de protection contre le scraping de masse, et que les numéros de téléphone — longtemps considérés comme peu sensibles — figurent en réalité parmi les identifiants les plus durables et exploitables qu'une plateforme puisse divulguer.

Chronologie

2017-2018

Des attaquants détournent à grande échelle la fonction d'importateur de contacts de Facebook, en l'interrogeant avec de vastes ensembles de numéros de téléphone pour les associer à des profils d'utilisateurs.

1 janvier 2019

Facebook identifie et corrige la vulnérabilité de l'importateur de contacts après avoir constaté qu'elle était exploitée.

2019-2020

Le jeu de données collecté circule de manière privée et est vendu entre cybercriminels ; des portions apparaissent dans un robot de recherche basé sur Telegram.

3 avril 2021

L'intégralité du jeu de données de 533 millions d'enregistrements est publiée gratuitement sur un forum de piratage de bas niveau, révélée par le chercheur Alon Gal.

9 avril 2021

Facebook indique qu'il ne notifiera pas individuellement les utilisateurs concernés, qualifiant les données de collectées par scraping plutôt que piratées.

28 novembre 2022

La Commission irlandaise de protection des données inflige à Meta une amende de 265 millions d'euros pour manquements à la protection des données dès la conception liés au scraping.

Sources

washingtonpost.comhttps://www.washingtonpost.com/business/2021/04/03/facebook-data-leak-insider/

npr.orghttps://www.npr.org/2021/04/09/986005820/after-data-breach-exposes-530-million-facebook-says-it-will-not-notify-users

technologyreview.comhttps://www.technologyreview.com/2021/04/07/1021892/facebook-data-leak/

theregister.comhttps://www.theregister.com/2021/04/05/facebook_data_dump_update/

Incidents liés

Ingénierie socialeRésolu17 mars 2018

Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Victim: Facebook
Loss: $5.00B
Records: 87.0M

Fuite de donnéesRésolu16 août 2024

Fuite de numéros de sécurité sociale National Public Data

Une fuite chez le courtier en données National Public Data (Jerico Pictures) a exposé une base d'environ 2,9 milliards d'enregistrements contenant noms, numéros de sécurité sociale, dates de naissance et adresses collectés depuis des sources publiques et non publiques, déclenchant une vague de poursuites et la faillite de l'entreprise.

Victim: National Public Data (Jerico Pictures, Inc.)
Records: 2.90B

Fuite de donnéesRésolu6 octobre 2021

Fuite du code source et des rémunérations des créateurs de Twitch

Une mauvaise configuration de serveur a exposé l'intégralité du dépôt Git de Twitch à un attaquant anonyme, qui a diffusé 125 Go de données — le code source complet avec l'historique des commits, les outils internes et trois ans de chiffres de rémunération des créateurs — sous forme de torrent sur 4chan.

Victim: Twitch (Amazon)

Fuite de donnéesRançon payée1 mai 2026

Fuite ShinyHunters chez Instructure Canvas LMS (2026)

ShinyHunters a exploité le programme de comptes Free-For-Teacher de Canvas pour exfiltrer 3,65 To de données couvrant environ 275 millions d'utilisateurs dans près de 9 000 établissements scolaires — noms, adresses e-mail, identifiants d'étudiants et certains messages privés entre étudiants et enseignants. Instructure aurait payé la rançon et les données auraient été détruites.

Victim: Instructure (Canvas LMS)
Loss: $10.0M
Records: 275.0M