533 millions numéros de téléphone associés à des comptes Facebook ont été rassemblés dans une large de données. Ces numéros sont mis en vente sur l’application de messagerie russe Telegram, pour 20 dollars l’unité avec un tarif dégressif à partir de 10 000 numéros achetés. Selon un chercheur en sécurité sollicité par le media américain Motherboard, tous ces numéros proviennent d’une faille survenue sur Facebook en 2019, et résorbée depuis. Cette dernière permettait à l'époque de récupérer le numéro de téléphone de n'importe quel utilisateur du réseau social. Elle semble avoir été largement exploitée, Facebook comptant près de deux milliards d'utilisateurs dans le monde
Concrètement, un bot créé sur Telegram permet aux utilisateurs de l'application de mettre la main sur le numéro de téléphone d'un utilisateur de Facebook à partir de son identifiant, ou inversement. Ce même identifiant Facebook peut être récupéré par le biais d'un site Internet, à partir de la simple adresse URL du profil visé. La base de données s'avère particulièrement large près de 32 millions de comptes américains y sont répertoriés et plus de 19 millions de comptes français. A titre de comparaison, Facebook France comptait quelque 27,5 millions d'utilisateurs actifs par mois au moment de la faille.
Le réseau social a notamment recours à ces numéros de téléphone pour procéder à sa double-authentification, et donc renforcer la sécurité des millions de comptes qui y ont été créés. Le numéro de téléphone peut également permettre de récupérer l'accès à son compte en cas d'oubli de mot de passe. Seulement, les captures écrans fournies à Motherboard, le bot serait actif depuis mi-janvier 2021. Facebook a tenu à préciser que la base de données contenait des identifiants Facebook créés avant que la vulnérabilité soit corrigée. Mais les numéros de téléphone y étant indexés correspondent vraisemblablement, dans la majorité des cas, toujours aux mêmes individus aujourd'hui.
L'application Telegram, connue pour sa modération indulgente, n'a pas encore censuré l'accès à des données personnelles sensibles.