1 października 2018 roku informowaliśmy, że Facebook odkrył lukę w zabezpieczeniach portalu, która mogła dotyczyć niemal 50 milionów kont.
„Ponieważ dopiero rozpoczęliśmy nasze śledztwo, musimy ustalić, czy konta zostały wykorzystane niezgodnie z przeznaczeniem lub czy uzyskano dostęp do informacji. Nie wiemy też, kto kryje się za tymi atakami” – komentował wówczas sprawę za pośrednictwem newsroomu serwisu Guy Rosen, VP of Product Management Facebooka.
Atakujący uzyskali wgląd do tokenów dostępu do Facebooka, odpowiedników cyfrowych kluczy, które umożliwiają bycie zalogowanym w serwisie bez konieczności wprowadzania hasła za każdym razem, gdy korzysta się z aplikacji.
Czytaj też: Facebook może zostać ukarany grzywną za ostatni wyciek danych
12 października 2018 roku firma opublikowała dodatkowe informacje na temat zaistniałej sytuacji. Okazało się, że hakerzy mieli dostęp do tokenów dostępu do serwisu nie 50, ale około 30 milionów użytkowników. Do ataku doszło 14 września 2018 roku. W przypadku 15 milionów użytkowników uzyskano dostęp do ich nazwisk oraz danych kontaktowych – numeru telefonu i/lub adresu e-mail (w zależności od tego, które z tych informacji były opublikowane na profilu). W przypadku 14 milionów osób uzyskano dostęp do powyższych danych, jak również do informacji takich jak m.in. płeć, stan cywilny, religia, miejscowość, data urodzenia, wykształcenie, praca, typy urządzeń, na których dana osoba korzysta z Facebooka, dziesięć ostatnich miejsc, w których się zameldowała, strony i osoby, które obserwuje, czy 15 ostatnich wyszukiwań. W przypadku miliona użytkowników atakujący nie uzyskali dostępu do żadnych informacji.
Użytkownicy mogą sprawdzić, czy ich dane zostały wykradzione, odwiedzając Centrum Pomocy Facebooka. W najbliższych dniach osoby, których dotyczy problem, otrzymają od serwisu wiadomość, w której zostaną poinformowane, do jakich danych mogli mieć dostęp atakujący i jakie kroki mogą podjąć, aby chronić się przed podejrzanymi wiadomościami czy połączeniami.
Atak nie obejmował platform Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace, stron firmowych, płatności, aplikacji firm trzecich i kont reklamodawców lub programistów.
Facebook współpracuje przy wyjaśnianiu tej sprawy z FBI, Irlandzką Komisją Ochrony Danych oraz innymi instytucjami.
Szczegółowe informacje na temat ataku można znaleźć na stronie. (pp)