Νέα στοιχεία για το πρόβλημα ασφαλείας που αποκαλύφθηκε στα τέλη Σεπτεμβρίου και επηρέασε μεγάλο αριθμό χρηστών έδωσε σήμερα στη δημοσιότητα το Facebook.
Ειδικότερα, όπως ανακοινώθηκε από το κοινωνικό δίκτυο, άγνωστοι δράστες εκμεταλλεύθηκαν ένα κενό στον κώδικα του Facebook το οποίο υπήρχε από τον Ιούλιο του 2017 έως τον Σεπτέμβριο του 2018. Το κενό αυτό τους επέτρεπε να «κλέψουν» στοιχεία πρόσβασης χρηστών στο Facebook, που στη συνέχεια θα μπορούσαν να χρησιμοποιήσουν για να πάρουν τον έλεγχο των λογαριασμών άλλων χρηστών. Πρόκειται για τα λεγόμενα «access tokens», που είναι σαν «ψηφιακά κλειδιά» με τα οποία οι χρήστες του Facebook μπορούν να παραμείνουν συνδεδεμένοι στο λογαριασμό τους χωρίς να χρειάζεται να πληκτρολογούν τον κωδικό τους κάθε φορά που χρησιμοποιούν την εφαρμογή.
Οι χάκερς, χρησιμοποιώντας ελεγχόμενους από τους ίδιους λογαριασμούς και εκμεταλλευόμενοι το κενό, πήγαιναν από λογαριασμό σε λογαριασμό μέσω μίας αυτοματοποιημένης τεχνικής, προκειμένου να κλέψουν τα access tokens του κάθε χρήστη και των φίλων του. Με την τεχνική αυτή, «φόρτωναν» αυτόματα τα προφίλ 400.000 χρηστών του Facebook και μέσω αυτών έκλεψαν τα access tokens περίπου 30 εκατομμυρίων χρηστών (και όχι 50 εκατομμυρίων, όπως πιστευόταν αρχικά). Στους μισούς από αυτούς, οι δράστες είχαν πρόσβαση στο όνομα και στον αριθμό τηλεφώνου και τη διεύθυνση email τους (αν την είχαν δηλώσει στο Facebook), ενώ για άλλους 14 εκατομμύρια χρήστες είχαν πρόσβαση και σε άλλα προσωπικά τους δεδομένα, όπως φύλο, καταγωγή, οικογενειακή κατάσταση, γενέθλια κλπ). Σε ένα εκατομμύριο λογαριασμούς οι χάκερ δεν κατάφεραν να διεισδύσουν στα προσωπικά στοιχεία των χρηστών.
Τις επόμενες μέρες το Facebook θα αποστείλει προσωποποιημένα μηνύματα στους 30 εκατομμύρια χρήστες που επηρεάστηκαν, εξηγώντας τους ποιες πληροφορίες ενδέχεται να υπέκλεψαν οι δράστες και σε ποιες ενέργειες μπορούν να προβούν για να προστατευθούν.