Si la panne mondiale de Facebook et l’annonce de ce scraping géant tombent en même temps, c’est très probablement un hasard. Les données personnelles de 1,5 milliard d’utilisateurs de Facebook sont actuellement à vendre sur un forum de hackers. Selon les experts en cybersécurité, les données semblent authentiques : il ne s’agit pas d’un duplicata ou d’un phishing connu précédemment.

Des utilisateurs de Facebook victimes d’un scraping géant

Si ce scraping se confirme, il pourrait s’agir de la plus grande base de données d’utilisateurs de Facebook disponible sur un forum de hackers. À la fin du mois de septembre 2021, un utilisateur d’un forum, bien connu par les experts en cybersécurité, a publié une annonce affirmant être en possession de données personnelles de plus de 1,5 milliard d’utilisateurs de Facebook. Ces données sont actuellement à vendre sur le forum en question. 

Le vendeur prétend représenter un groupe de scrapers sur le web, en activité depuis au moins quatre ans. Difficile de savoir si les données sont fiables : un acheteur potentiel a affirmé avoir payé le vendeur, mais n’avoir rien reçu en retour. Le vendeur n’a pas encore répondu à ces accusations.

Parmi les informations volées, on retrouve : le nom, le prénom, l’e-mail, le numéro de téléphone, le genre, la localisation géographique, et l’identifiant des utilisateurs Facebook concernés. Selon Privacy Affairs, un acheteur affirme avoir reçu une offre de 5 000 dollars pour les données d’un million de comptes d’utilisateurs de Facebook.

Que risquent les personnes concernées ?

Voici le message publié par l’acheteur sur le forum de hackers : « nous vendons une base de données qui contient les informations personnelles de 1,5 milliard d’utilisateurs de Facebook. Cette base de données a été scrapée cette année ».

Capture d’écran : Privacy Affairs

Les données des utilisateurs ont donc été obtenues par scraping et non par piratage. Cette méthode consiste à extraire des données sur le web et à les organiser pour les utiliser ou les revendre. Techniquement, cela signifie qu’aucun compte n’a été compromis. Seuls les profils Facebook qui ont été définis comme « publics » par leurs propriétaires sont concernés. De faux sondages ou des questionnaires circulant sur Facebook ont également pu permettre de récolter les données des utilisateurs.

Cependant, ce n’est qu’une maigre consolation pour les utilisateurs concernés… Ces données vont probablement se retrouver entre les mains de cybercriminels. Avec la diffusion des numéros de téléphone, les utilisateurs risquent, entre autres, d’être victimes de spam par SMS (une pratique illégale en France).