Partager la publication "Les groupes fermés de Facebook étaient exposés à une faille"
C’est encore une histoire qui mêle Facebook et les données personnelles. Ce sont les membres des groupes fermés qui y étaient exposés.
Les données personnelles laissées sur un site, réseau social ou autre sont une mine d’or pour les sociétés publicitaires et marketing. Et rien de tel que de s’intéresser au plus gros réseau social au monde, Facebook pour le nommer, pour tenter de récupérer ces précieuses informations.
Facebook et une extension Chrome
C’est le site CNBC qui révèle l’affaire de cette faille de Facebook exploitée par une extension Chrome. En effet, dans cette histoire, Andrea Downing, modératrice d’un groupe fermé sur les porteurs de gènes du cancer du sein et qui comptent 9 000 membres, a découvert que l’extension Chrome nommée Grouply.io était capable de voir les noms des membres du groupe fermé, mais aussi de collecter des informations telles que l’employeur, l’adresse et l’email.
Après cette découverte, Andrea Downing avait peur que ces données ne soient utilisées à des fins discriminatoires principalement par les assurances. Elle a contacté Fred Trotter, chercheur en sécurité, qui s’est aperçu que l’extension Chrome ne faisait qu’exploiter une fonction du réseau qui, habituellement, ne peut être réalisée en masse.
Réaction de Facebook
Fred Trotter s’est permis d’alerter le réseau social de Mark Zuckerberg le 29 mai dernier en mettant en avant ce problème. En retour, le 20 juin, Facebook a reconnu que les noms des groupes fermés étaient bel et bien disponibles publiquement et, devant la réaction vive et négative des membres du groupe, cette possibilité a été supprimée par le réseau le 29 juin.
Parallèlement, Facebook s’est adressé directement aux créateurs de l’extension Chrome avec une mise en demeure de cesser cette collecte d’informations. Cela a apparemment été couronné de succès puisque l’extension n’est plus au catalogue de Chrome.
Après les données partagées avec les constructeurs de smartphones, encore une histoire d’accès aux données personnelles qui n’aura pas dû avoir lieu.
