Facebook revela que dados pessoais de 30 milhões de contas foram roubados

Empresa fornece detalhes adicionais sobre a grave falha de segurança que tinha anunciado no final de Setembro.

Foto de Glen Carrie via Unsplash

Há duas semanas, o Facebook revelou que 50 milhões de contas tinham sido afectadas por uma grave falha de segurança. Na altura, a empresa disse ainda estar a investigar o sucedido em conjunto com o FBI e outras autoridades norte-americanas. Corrigiu o problema e tomado medidas imediatas para proteger os utilizadores, como eliminar os tokens afectados, o que resultou em 90 milhões de pessoas com logout forçado das suas contas.

O Facebook partilhou esta sexta-feira detalhes adicionais sobre a falha de segurança previamente reportada –também a uma sexta-feira. De acordo com a empresa, das 50 milhões de contas que tiveram os tokens de acesso comprometidos apenas 30 milhões os viram roubados. Os atacantes não tiveram acesso ao mesmo tipo de informação de todas as contas:

  • para 15 milhões de contas, acederam ao nome e contactos (número de telemóvel, e-mail ou ambos, dependendo do que os utilizadores tinham nos perfis);
  • para 14 milhões de contas, acederam a esses dois dados e também ao username, género, local/língua, estado de relação, religião, cidade-natal, cidade actual (listada no perfil), data de nascimento, tipo de dispositivos utilizados para aceder ao Facebook, educação, trabalho, últimos 10 locais em que fizeram check-in ou onde foram identificados, website, pessoas e páginas que seguiam, e 15 pesquisas mais recentes;
  • para 1 milhão de contas, não acederam a qualquer tipo de informação.

A empresa de Mark Zuckerberg detalha ainda o processo que os atacantes terão seguido para chegar às 30 milhões de contas. Começaram por controlar um conjunto de contas e as respectivas listas de “amigos”. Depois usaram uma técnica automatizada para, através da funcionalidade “View As”, saltarem de conta em conta e roubarem os tokens de acesso não só dos “amigos “dessas contas, mas também dos “amigos dos amigos”, e por aí fora.

No total, conseguiram uma base inicial de 400 mil pessoas. Os atacantes não conseguiram aceder imediatamente à informação dessas 400 mil pessoas, só de uma parte – aqueles que eram administradores de uma página e se essa página tinha recebido uma mensagem de alguém do Facebook. A empresa explica que os atacantes usaram, assim, uma porção das 400 mil contas para chegar aos 30 milhões de utilizadores e proceder ao roubo dos dados.

O Facebook diz que os utilizadores afectados irão receber uma nova mensagem no topo dos seus News Feeds, detalhando que tipos de informação pessoal foram comprometidos, e disponibiliza ajuda adicional no seu Help Center. O comunicado do Facebook pode ser consultado aqui. A empresa garante que apenas o Facebook foi afectado. Serviços como Messenger, Messenger Kids, Instagram, WhatsApp, Oculus, Workplace e Pages ficaram de fora dos ataques.