Empresa afirma que houve falhas de softwares para roubar “tokens de acesso”, que permitem que as pessoas se conectem automaticamente de volta às suas contas.
O Facebook disse, nesta sexta-feira (12), que os hackers responsáveis por um ataque à rede social descoberto em setembro tiveram acesso às contas de cerca de 29 milhões de pessoas e roubaram nome e detalhes de contato dos usuários.
A empresa informou no dia 28 de setembro que os hackers haviam roubado códigos de acesso digital, permitindo o acesso a quase 50 milhões de contas de usuários, mas não confirmou, na época, se as informações haviam sido realmente roubadas.
Em nota, a empresa disse que, em 15 milhões de contas, os invasores acessaram dois conjuntos de informações: nome e detalhes de contato, incluindo número de telefone, e-mail ou ambos, dependendo do que os indivíduos tinham em seus perfis.
Em outras 14 milhões de contas, os hackers também acessaram outros detalhes, incluindo nome de usuário, gênero, localidade/idioma, status de relacionamento, religião, cidade natal, data de nascimento, dispositivos usados para acessar o Facebook, educação, trabalho e os últimos 10 locais onde estiveram ou em que foram marcados. (Confira na íntegra o comunicado oficial).
“Estamos cooperando com o FBI, que está investigando ativamente e nos pediu para não discutir quem pode estar por trás desse ataque”, explica a empresa.
Central de ajuda
A empresa havia afirmado em setembro que ainda não tinha a confirmação de que o problema afetou perfis no Brasil. Apesar disso, várias pessoas disseram no Twitter que foram deslogadas de suas contas no Facebook. Os engenheiros do Facebook afirmaram, na ocasião, que “não havia necessidade de ninguém mudar suas senhas”.
Agora, por meio do comunicado geral, a empresa explica que para saber se suas informações foram afetadas, os usuários podem checar visitando a Central de Ajuda no Facebook.
Nos próximos dias, o Facebook irá enviar mensagens customizadas a cada uma das 30 milhões de pessoas afetadas para explicar quais informações os invasores podem ter acessado, bem como medidas que elas podem tomar para ajudar a se proteger, incluindo de e-mails maliciosos, mensagens de texto ou chamadas telefônicas.
Outras redes sociais
De acordo com o Facebook, o ataque não incluiu as redes do Messenger, Messenger Kids, Instagram, Oculos, Workplace, páginas, pagamentos, aplicativos de terceiros ou contas de desenvolvedores ou anunciantes.
“Enquanto investigamos outras formas pelas quais as pessoas que estão por trás deste ataque usaram o Facebook, bem como a possibilidade de ataques em menor escala, continuaremos a cooperar com o FBI, a Comissão Federal de Comércio dos Estados Unidos, a Comissão de Proteção de Dados da Irlanda e outras autoridades”, finaliza o comunicado.
Como os hackers agiram
A falha explorou uma brecha no código relacionada ao recurso “Ver como”, que mostra ao usuário como o perfil dele é exibido para outras pessoas.
Primeiro, os invasores já controlavam um número de contas, que estavam conectadas com as contas existentes de amigos no Facebook. A partir daí, eles usaram uma técnica de automação para se mover de uma conta para outra, para que pudessem roubar os tokens de acesso desses amigos, e então de amigos de amigos e assim por diante, totalizando cerca de 400 mil pessoas.
Durante esse processo, contudo, essa técnica automaticamente carregou o perfil de 400 mil contas do Facebook. Isso incluiu posts na timeline, suas listas de amigos, grupos dos quais eram membros e os nomes de pessoas com as quais tinham conversado recentemente no Messenger.
Apenas o conteúdo das mensagens não ficou disponível aos invasores. Porém, se alguém neste grupo era administrador de uma Página que recebeu uma mensagem de alguém no Facebook, então o conteúdo da mensagem ficou disponível aos invasores.
Aviso: Os comentários só podem ser feitos via Facebook e são de responsabilidade de seus autores e não representam a opinião deste site. É vetada a inserção de comentários que violem a lei, a moral e os bons costumes ou violem direitos de terceiros, sendo passível de retirada, sem prévia notificação, comentários postados que não respeitem os critérios impostos neste aviso ou que estejam fora do tema proposto.
Tem uma sugestão de reportagem? Nos envie através do WhatsApp (19) 99861-7717.