Pour ceux qui suivent le compte Twitter de WebActus, je vous avez annoncé la news hier soir : Facebook utilise un compte universel avec un mot de passe unique pour accéder à tous les comptes. C’est un ancien employé qui révèle la terrifiante information expliquant qu’il existe en interne un compte universel utilisable que depuis le réseau interne de Facebook.
« I’m not sure when exactly it was deprecated, but we did have a master password at one point where you could type in any user’s user ID, and then the password. I’m not going to give you the exact password, but with upper and lower case, symbols, numbers, all of the above, it spelled out ‘Chuck Norris,’ more or less. It was pretty fantastic.
[…]
I should also say that it was only available internally. If I were to log in from a high school or library, I couldn’t use it. You had to be in the Facebook office, using the Facebook ISP.«
Il explique donc qu’il est possible d’accéder à tous les comptes facebook de tout le monde en utilisant l’ID unique du compte et le mot de passe « chuck norris » à la complexité d’écriture prêt (remplacer des O par des 0, majuscules, minuscules, caractères spéciaux). Il explique aussi qu’il devait être obligatoirement dans les locaux de Facebook ou tout du moins sur son réseau informatique.
Il continue d’expliquer :
« I will say, when I first started working there, yes. I used it to view other people’s profiles which I didn’t have permission to visit. I never manipulated their data in any way ; however, I did abuse the profile viewing permission at several initial points when I started at Facebook.«
Eh oui, certains employés dont il faisait parti, n’hésitez pas à abuser de ce compte pour accéder à des comptes/données dont ils n’avaient pas accès avec leurs comptes personnels.
La news fait peur à lire. En effet si la société venait à se faire pirater son réseau informatique, les hackers n’auraient aucun mal à accéder à nos comptes et modifier nos données, voire les revendre. Outre le côté sécuritaire, il est quand même immorale que les employés de la société aient accès et l’utilise sans aucune surveillance de la part de Facebook, malgré la difficulté technique. Il faudrait arriver à différencier les accès professionnels, problème sur un compte, des accès personnels qui n’ont pas lieu d’être.
Cela serait identiques à relever les informations qu’une personnes auraient enregistré sur un site ecommerce comme les numéros de leurs cartes bleues ou informations personnelles. Attendons de voir la réponse de Facebook fasse à ses révélations qui le mettent dans une position délicate.
EDIT : Depuis le mot de passe ne fonctionne plus ou du moins a été changé.
Source : Waebo