Le site d'Instagram a laissé fuiter des données pendant des mois
Sécurité : Le site Internet
d'Instagram n'était pas étanche. En raison d'une faille, la filiale de
Facebook a exposé des numéros de téléphone et des adresses mail pendant
des mois, rapporte un chercheur.
instagram, FB, fuite, vol de donné, vol d'identité, Hackers, facebook,
Selon un chercheur, le site Web d'Instagram a divulgué les coordonnées d'utilisateurs, y compris leurs numéros de téléphone et leurs adresses électroniques, pendant une période d'au moins quatre mois.
Le code source de certains profils d'utilisateurs d'Instagram embarquait les coordonnées du titulaire du compte à chaque chargement dans un navigateur Web, explique David Stier, data scientist et consultant. C'est ce professionnel qui en a informé Instagram peu après avoir découvert le problème.
publicité
Données personnelles visibles dans le code source
Les données de contact n'étaient pas affichées sur le profil du titulaire du compte dans la version desktop du site Web d'Instagram - même si elles étaient utilisées par l'application du site de partage de photos pour la communication.Les raisons pouvant expliquer comment ces données personnelles ont ainsi été divulguées dans le code source des pages ne sont pas précisées. Cette erreur semble concerner des milliers de comptes, appartenant à des particuliers - dont des mineurs - ainsi qu'à des entreprises et des marques, note Stier.
La divulgation de ces données au travers du code source pourrait permettre à des pirates d'exfiltrer les données du site Web d'Instagram et ainsi d'établir un annuaire téléphonique virtuel comprenant les coordonnées de milliers d'utilisateurs d'Instagram.
Un tel annuaire pourrait bien d'ailleurs avoir été constitué. Lundi, un rapport révélait qu'une société de marketing en Inde avait obtenu les coordonnées de millions de comptes Instagram et les avait stockées dans une base de données non sécurisée.
Fuite depuis au moins octobre 2018
Les moyens employés pour créer cette base de données restent à définir. Un tel fichier constitue quoi qu'il en soit une violation des conditions d'utilisation de l'entreprise, filiale de Facebook, lui aussi concerné par des fuites de données.Mercredi, Instagram a fait savoir qu'elle enquêtait sur le rapport de Stier. Le service Web a refusé de faire d'autres commentaires. Instagram avait précédemment déclaré enquêter sur la base de données gérée par la société de marketing indienne Chtrbox.
Dans une déclaration, Chtrbox réplique que l'information contenue dans sa base de données n'était pas privée et que celle-ci n'a pas été acquise par des moyens contraires à l'éthique.
Sur la base de l'examen de versions archivées des profils Instagram, Stier signale avoir trouvé des preuves que les numéros de téléphone et les courriels figuraient dans le code source depuis au moins octobre 2018. Il a signalé le problème à Instagram en février. Le bug était corrigé en mars.