Um ataque ao Facebook expôs informações de quase 50 milhões de usuários da rede social, anunciou a empresa na sexta-feira — e deu aos invasores acesso às contas desses usuários em outros sites e aplicativos nos quais eles fizeram login usando o Facebook.
Os invasores exploraram um bug em um recurso chamado “Visualizar como” que permite que os usuários vejam sua página do Facebook da maneira que outra pessoa veria. Os invasores conseguiram assumir o controle das contas e usá-las exatamente como se fossem os titulares da conta. Isso incluiria postar ou visualizar informações compartilhadas por qualquer um dos amigos dessa conta. O Facebook diz que nenhuma informação de cartão de crédito armazenada com a empresa foi acessada.
Facebook(Facebook) disse que não sabe quem eram os atacantes ou onde eles estavam baseados. Também disse que já corrigiu o problema e informou o FBI e outras autoridades policiais, bem como legisladores e reguladores. Também informou a Comissão Irlandesa de Proteção de Dados sobre a violação, uma etapa exigida pelos regulamentos do GDPR da Europa. A comissão disse que recebeu a notificação, mas expressou preocupação com seu momento e falta de detalhes.
Mais de 90 milhões de usuários foram desconectados à força de suas contas pelo Facebook e tiveram que fazer login novamente na sexta-feira por motivos de segurança. As contas do CEO do Facebook, Mark Zuckerberg, e da COO Sheryl Sandberg estavam entre as 90 milhões de contas desconectadas à força pelo Facebook.
Os usuários não precisam tomar nenhuma precaução de segurança adicional ou redefinir suas senhas, disse o Facebook. Todos os usuários desconectados receberão uma notificação sobre o problema do Facebook, mas não será informado se eles estavam no grupo de 50 milhões impactados ou 40 milhões incluídos como precaução.
Os invasores também teriam conseguido acessar serviços ou sites de terceiros acessados com um login do Facebook, disse Guy Rosen, do Facebook, em uma ligação de acompanhamento com repórteres na sexta-feira, embora ainda não esteja claro se eles fizeram isso. Também poderia ter impactado contas do Instagram que usam o mesmo login do Facebook, mas Rosen disse que o WhatsApp, que também é de propriedade do Facebook, não foi impactado. É o maior hack já feito para o Facebook, disse um porta-voz.
A empresa diz que não sabe se as contas afetadas foram mal utilizadas de alguma forma ou se alguma informação do usuário foi realmente acessada. Ela não determinou se algum local ou conta específica foi alvo. Ela desativou o recurso “Visualizar como” que os invasores exploraram enquanto investiga.
“Por experiência, notificações de violação como essa sempre tendem a piorar com o passar do tempo e as informações das investigações são compartilhadas com o público”, disse Jessy Irwin, chefe de segurança da empresa de segurança cibernética Tendermint. “Não há muito que seja público sobre como essas contas (vinculadas) são impactadas, mas isso parece ir muito mais fundo em todo o ecossistema do Facebook do que a Cambridge Analytica fez.”
O Facebook diz que a vulnerabilidade é o resultado de três bugs distintos e apareceu originalmente em julho de 2017, quando a empresa fez uma alteração em um recurso de upload de vídeo. A empresa detectou pela primeira vez alguma atividade incomum — um pico no acesso de usuários ao site — em 16 de setembro de 2018. Ela lançou uma investigação e descobriu esse ataque na terça-feira, 25 de setembro. Na quarta-feira, ela notificou a polícia e na quinta-feira à noite corrigiu a vulnerabilidade e começou a redefinir os tokens de login, de acordo com o Facebook.
Os invasores roubaram “tokens de acesso” do Facebook que mantêm uma pessoa conectada à sua conta do Facebook por longos períodos de tempo para que ela não precise continuar fazendo login. O Facebook redefiniu todos os 50 milhões de tokens, bem como os tokens de mais 40 milhões de pessoas que usaram o recurso “Visualizar como” no ano passado como uma “medida de precaução”. A redefinição também desvinculou contas como Instagram e Oculus, ambas de propriedade do Facebook, que os usuários precisarão vincular novamente.
“A realidade aqui é que enfrentamos ataques constantes de pessoas que querem assumir contas ou roubar informações… precisamos fazer mais para evitar que isso aconteça em primeiro lugar”, disse o CEO Mark Zuckerberg durante uma ligação com repórteres logo após o anúncio.
O anúncio é o mais recente problema para a empresa, que tem lutado com violações de segurança, problemas de privacidade e desinformação nos últimos anos. O Facebook diz que está investindo pesadamente em segurança daqui para frente e aumentando o número de pessoas trabalhando em segurança de 10.000 para 20.000.
“A segurança é uma corrida armamentista e continuamos a melhorar nossas defesas”, disse Zuckerberg.
— Donie O’Sullivan, Laurie Segall e Sara O’Brien, da CNN, contribuíram com a reportagem.
CNNMoney (São Francisco) Primeira publicação em 28 de setembro de 2018: 12:58 PM ET
Notícias de Tecnologia:
Tinder, Pinterest e outros lutam para determinar como o hack do Facebook afeta seus usuários
Os usuários do Threads agora podem ver quem os segue de outros servidores Fediverse
Facebook não funciona? Como corrigir problemas comuns do Facebook
O construtor de sites Squarespace diz que está treinando suas ferramentas de IA com curadoria e bom gosto
As maneiras mais fáceis de trocar informações de contato usando seu telefone
Como funciona o seguro FDIC para contas empresariais