Comptes Facebook et Instagram piratés : le marché noir des employés
Nouveau scandale chez Meta ! Au cours d'une enquête interne, l'entreprise a découvert un véritable marché noir, certains employés ayant pris le contrôle de comptes Facebook et Instagram pour les revendre à des pirates…
La protection des données a toujours été un sujet délicat pour Meta, la maison mère de Facebook, Instagram, Messenger et WhatsApp. Il faut dire que la firme est régulièrement au cœur de scandales à cause de fuites, de vols – que ce soit par du phishing ou des vols de jetons d'accès – ou encore d'exploitation par des tiers. Rien que le mois dernier, plus d'un million de mots de passe Facebook ont été dérobés par le biais d'applications vérolées et de fausses pages de connexion. Il faut dire que la quantité phénoménale de données que possède Meta représente une véritable mine d'or pour ceux qui parviendraient à s'en emparer, y compris pour les employés de l'entreprise ! Ainsi, il y a quelques jours, le célèbre et très sérieux Wall Street Journal a révélé que Meta venait de sanctionner une vingtaine de salariés et de sous-traitants – notamment des agents de sécurité du groupe Allied Universal – pour avoir détourné des comptes Facebook et Instagram en 2021. Ces indélicats avaient même mis en place un véritable marché noir où ils revendaient des informations confidentielles à des pirates et à des entreprises peu scrupuleuses pour plusieurs milliers de dollars. De quoi créer un véritable "metagate"…
Scandale Meta : quand les employés piratent des comptes Facebook et Instagram
Pour commettre leurs forfaits, les incriminés ont profité de leurs accès à l'outil Oops (pour Online Operations). Il s'agit d'un système propre à Meta pour récupérer un compte Facebook ou Instagram suite à un piratage, un oubli ou un bannissement. Il est censé être utilisé de façon exceptionnelle pour aider les célébrités, les proches des salariés et les relations de Mark Zuckerberg – il est aussi parfois utilisé pour récupérer le compte d'une personne décédée. Or, son nombre d'utilisations a explosé ces dernières années. Comme le rapporte le Wall Street Journal, l'outil a été utilisé 50 270 fois en 2020, contre seulement 22 000 fois en 2017. Pour connaitre la raison de cette hausse, Meta a donc lancé une enquête interne.
Après de longues recherches, le groupe a découvert que certains de ses employés et de ses sous-traitants – dont des agents de sécurité, qui pouvaient l'utiliser en cas de problème avec leurs propres comptes – avait cédé à l'appât du gain et ont rendu payant l'accès à ce système. Ils ont ainsi gagné des milliers de dollars en prenant le contrôle de comptes désactivés ou appartenant à des influenceurs célèbres pour le compte d'entreprises et d’arnaqueurs. Par exemple, un contractuel a réinitialisé plusieurs comptes d'utilisateurs pour des pirates informatiques en échange de paiements en bitcoins.
Facebook et Instagram : des plateformes très prisées des arnaqueurs
Le Wall Street Journal relaie le témoignage de plusieurs personnes ayant payé un employé Meta pour récupérer l'accès à un compte Instagram ou Facebook. C'est le cas d'un entrepreneur américain travaillant pour McCandless Group, une entreprise spécialisée dans l'accompagnement de ses clients : logiciels, conception graphique, marketing... et récupération de comptes, notamment pour les créateurs de contenus sur les réseaux sociaux. Il explique que "lorsque vous supprimez le compte Instagram de quelqu'un qui a passé des années à le construire, vous lui enlevez tout moyen de générer un revenu." C'est pourquoi il proposait à ses clients de regagner l'accès à leurs comptes grâce à un salarié chez Meta moyennant une coquette somme. Brooke Millard, une influenceuse ayant eu recours aux services de McCandless, déclare avoir payé 7 000 dollars à la firme pour retrouver son compte. Mais ce trafic est aussi utilisé à des fins plus néfastes. En récupérant l'accès à un compte, les pirates peuvent diffuser beaucoup plus facilement leurs arnaques, surtout s'il est suivi par de nombreux abonnés sans méfiance...
À ce jour, 24 personnes ont été licenciées. Meta, par l'intermédiaire de son porte-parole Andy Stone, a avoué que les "personnes qui vendent des services frauduleux ciblent toujours les plateformes en ligne, y compris la nôtre, et adaptent leurs tactiques en fonction des méthodes de détection généralement utilisées dans le secteur.". L'entreprise assure que "nous mettons aussi régulièrement à jour nos mesures de sécurité pour faire face à ce type d'activité et nous continuerons à prendre les mesures appropriées contre les personnes impliquées dans ce genre de stratagèmes " et que "nous prenons au sérieux tous les rapports de violation de nos normes de conduite".