Savez-vous qu’il y a 977 014 Michael, 913 465 Smith et que Jessica est le prénom féminin le plus courant sur Facebook ? Des statistiques qui n’auraient rien d’exceptionnel si elles avaient été révélées par le site lui-même. Mais, en l’occurence, il s’agit d’un hacker qui a récupéré des tonnes d’informations sur les comptes des membres Facebook. A l’heure où tout le monde est content de relayer que le site recense 500 millions inscrits, cette faille de sécurité devrait alimenter l’argumentaire des anti-Facebook. Plus de 171 millions d’utilisateurs sont concernés et les sources sont disponibles pour les exploiter. Des fichiers texte de plusieurs dizaines de Mo pour découvrir la popularité de votre nom, prénom, ou combinaison des deux dans l’annuaire des membres. En bonus, un fichier torrent de 2,8Go pour avoir l’URL de tous les profils qui sont accessibles via la fonction « Rechercher » de Facebook, leur nom et le nombre, ainsi que les programmes utilisés pour la collecte de toutes ces informations.
Ron Bowes a fait fort et s’est limité aux profils qui apparaissent lors d’une recherche. Il annonce qu’il est également possible de récupérer les autres (un profil qui bloque la recherche apparaitra forcément en ami de quelqu’un qui l’autorise). Avec un peu de temps et quelques ressources, dont le logiciel Nmap, il est faisable de récupérer tous les 500 millions de comptes.
En fait, c’est Facebook qui rend la chose très facile puisque leur Directory est un annuaire de tous ces profils récupérés. Un petit script et c’est parti !
Qu’on soit bien d’accord, il ne s’agit pas de piratage, toutes les informations récoltées sont publiques et voici d’autres exemples de sources :
- facebook.com/directory est l’annuaire des profils Facebook qui apparaissent dans les recherches
- graph.facebook.com est une API qui permet d’afficher les informations d’un profil utilisateur, d’une page, d’un groupe, etc. Par exemple avec le compte de Mark Zuckerberg qui a l’ID 4
- facebook.com/family pour retrouver tous ceux qui ont le même nom de famille que vous
Toutes les informations de ce hack sur le site de Skull Security (cache).