Le spécialiste de la cybersécurité UpGuard a découvert plus de 146 gigaoctets de données et plus de 540 millions d’enregistrements de Facebook, y compris des commentaires, des noms de comptes, des réactions, des identifiants et autre, dans une base de données de l’entreprise mexicaine Cultura Colectiva, ouverte à l’internet publique.

UpGuard a aussi découvert la copie de sauvegarde d’une application nommée « At the Pool » (à la piscine), exposée à tous via le stockage Amazon S3. Cette base de données contient des colonnes pour des noms d’utilisateurs, des identifiants, musiques, films, photos, événements, amis, likes, groupes, intérêts, mots de passe, etc.

Si cette base de données n’est pas aussi grande que celle de Cultura Colectiva, elle contient des mots de passe en texte clair. At the Pool a cessé ses opérations en 2014. On ne sait depuis quand ces informations sont disponibles sur internet.

UpGuard a informé Cultura Colectiva deux fois, la première le 10 janvier, sans obtenir de réponse à ce jour.

UpGuard a alors informé AWS le 28 janvier, mais cette dernière s’est contentée de transmettre l’information à sa cliente.

Un mois après, constatant que les données n’étaient toujours pas sécurisées, UpGuard a recontacté AWS, qui a promis de réfléchir à une solution.

Rien n’a été fait, jusqu’au 3 avril, quand Bloomberg a interrogé Facebook sur l’affaire.

Inversement, les informations d’At the Pool ont disparu alors que UpGuard enquêtait sur les données, sans que cette dernière découvre si c’était un hasard, ou si une personne responsable a fini par s’apercevoir de la bévue.

Ces deux brèches de données illustrent à quel point la collection de masse d’informations est problématique : les données ne finissent pas par disparaître naturellement et les acteurs ne s’intéressent pas assez aux questions de stockage durant tout le cycle de vie des données.

Elles illustrent le fait que Facebook n’aurait jamais dû donner un accès aux informations personnelles de ses utilisateurs, et n’a sans doute jamais fait aucun effort pour garantir que la sécurité des données était assurée par les tiers.

Au contraire, depuis le scandale Cambridge Analytica, on ne cesse de s’apercevoir que des centaines de millions de données personnelles ont été maltraitées par des partenaires de Facebook.