O Facebook revelou que 30 milhões de pessoas viram os seus tokens de acesso serem roubados numa fuga de informação descoberta e feita pública no final do mês de outubro.
Deste total, 29 milhões também foram vítimas de fuga de dados no perfil pessoal. Os restantes um milhão de utilizadores tiveram os seus tokens de acesso roubados, mas a informação pessoal preservada de partilhas não autorizados. A notícia foi comunicada pelo VP of Product Management do Facebook, Guy Rosen (via WeLiveSecurity).
Este anúncio da rede social evidencia um claro decréscimo no número total de afetados. Inicialmente, achava-se que a fuga de informação teria alcançado aproximadamente 50 milhões de utilizadores. Outros 40 milhões de utilizadores estariam alegadamente em risco, o que obrigou o Facebook a forçar que um total de 90 milhões de utilizadores fizessem log out da rede social, revogando os seus tokens de acesso.
Dos 29 milhões de utilizadores vítimas de fuga de dados, 14 milhões foram afetados por acesso não autorizado a nome, informação de contacto (número de telefone, email, ou ambos, em função do que constava no perfil) e outros detalhes como género, local, relacionamentos, religião, data de nascimento, os últimos 10 locais em que deu entrada, páginas seguidas, etc.
De acordo com Guy Rosen, os atacantes ainda desconhecidos usaram um programa automatizado que se movia de um amigo para outro e assim sucessivamente. Utilizando um conjunto de contas sob o seu controlo como plataforma de lançamento, os atacantes fizeram-se valer de três bugs interconectados na função “Ver como” da rede social de forma a extrair os tokens dos amigos das contas controladas, bem como dos amigos desses amigos, para um total de aproximadamente 400 mil pessoas. Apenas uma porção da lista de amigos dos 400 mil utilizadores foi necessária para conseguir os tokens de acesso de 30 milhões de pessoas.
Os utilizadores do Facebook podem verificar se os seus dados foram roubados visitando esta secção do Help Center da rede social. O Facebook comentou ainda que irá notificar as vítimas do tipo de informação nos seus perfis que foi abrangido pelo incidente.
O Messenger, Messenger Kids, Instagram, WhatsApp ou apps de terceiros não foram afetados pela fuga de informação.
