Un ataque en Facebook descubierto a principios de esta semana expuso información sobre casi 50 millones de usuarios de la red social, anunció la compañía el viernes.
Los atacantes explotaron la característica llamada “Ver como” que les permite a los usuarios ver su página de Facebook de la misma manera que otra persona lo haría.
Facebook dijo que no sabe quiénes eran los atacantes ni dónde se encontraban.
También dijo que ya ha solucionado el problema e informó al FBI y a otras autoridades policiales. También ha informado a la Autoridad de Protección de Datos de Irlanda sobre el incumplimiento, un paso requerido por las regulaciones de Europa.
Más de 90 millones de usuarios se vieron obligados a cerrar sesión de sus cuentas el viernes por razones de seguridad. Los usuarios no necesitan tomar precauciones de seguridad adicionales ni restablecer sus contraseñas, dijo Facebook.
Todos los usuarios desconectados recibirán una notificación sobre el problema de Facebook.
La compañía dice que no sabe si las cuentas afectadas fueron mal utilizadas de alguna manera o si se accedió a la información del usuario. Ha desactivado la función “Ver como” que los atacantes explotaron.
Facebook dice que la vulnerabilidad es el resultado de tres errores distintos, y apareció originalmente en julio de 2017 cuando la compañía realizó un cambio en una función de carga de video.
La compañía detectó por primera vez actividad inusual, y un aumento en el acceso de los usuarios al sitio, el 16 de septiembre de 2018. Lanzó una investigación y descubrió este ataque el martes de esta semana. El miércoles notificó a la policía y el jueves por la noche corrigió la vulnerabilidad y comenzó a restablecer los tokens de inicio de sesión.
Los atacantes robaron “tokens de acceso” de Facebook que mantienen a una persona conectada a su cuenta de Facebook durante largos períodos de tiempo para que no tengan que seguir iniciando sesión.
Facebook restablece los 50 millones, así como también tokens para otros 40 millones de personas que había utilizado la función en el último año como un “paso de precaución”.
“La realidad aquí es que nos enfrentamos a ataques constantes de personas que quieren hacerse cargo de las cuentas o robar información … necesitamos hacer más para evitar que esto suceda en primer lugar”, dijo el CEO Mark Zuckerberg durante una llamada con reporteros.
El anuncio es el último número para la compañía, que ha luchado contra las violaciones de seguridad, los problemas de privacidad y la información errónea en los últimos años.
Facebook dice que está invirtiendo fuertemente en seguridad en el futuro, y que aumenta el número de personas que trabajan en seguridad de 10.000 a 20.000.