Des millions de numéros de téléphone volés sur Facebook vendus sur Telegram
Un chercheur en cybersécurité vient de découvrir une bien triste manœuvre en cours sur le net. En effet, une personne a mis en vente des millions de numéros de téléphone provenant de comptes Facebook sur le service de messagerie instantanée Telegram. Chaque numéro est revendu pour un prix unitaire de 20 dollars.
Ce 14 janvier 2021, Alon Gal, chercheur en cybersécurité, a constaté la présence d’un bot sur la messagerie instantanée Telegram. L’objectif de ce dispositif était simple : vendre des numéros de téléphone provenant de Facebook.
20 dollars pour un numéro de téléphone sur Telegram
Il y a maintenant presque deux semaines, Alon Gal alertait sur Twitter de la présence d’un bot présent sur l’application de messagerie Telegram. L’homme déclare avoir découvert qu’un hacker y commercialisait 533 millions de numéros de téléphone originaires de comptes Facebook. Le prix de vente s’élevait à 20 $ (ou 5000 $ les 10 000 numéros…). Petite subtilité, le robot pouvait aller chercher le numéro de téléphone d’un compte Facebook précis ou bien retrouver une personne grâce à son numéro. Même si ce n’est pas la première fois que des données personnelles sont disponibles sur internet (dark web), Alon Gal souligne qu’il est tout de même étonnant et rare de voir ce type de pratique sur des services comme Telegram.
Des millions de numéros provenant d’une faille Facebook de 2019
L’ensemble de ces numéros de téléphone proviennent d’une ancienne faille de sécurité de Facebook. Maintenant comblée depuis août 2019, cette fuite de données avait permis de récolter 690 millions de numéros de téléphone provenant du réseau social. La base de données en vente par ce bot est donc assez vieille. On peut tout de même constater que 19 848 559 numéros français en font partie.
Cependant, on ne change pas de numéro de téléphone très souvent. Alon Gal déclare ainsi au site Mortherboard que cette base de données pourrait être “ utilisée pour le smishing et d’autres activités frauduleuses ”. Des campagnes de phishing pourraient ainsi avoir lieu afin de récolter des données personnelles comme des informations bancaires.