O Facebook disse, nesta sexta-feira (12), que os hackers
responsáveis por um ataque à rede social descoberto em setembro tiveram acesso
às contas de cerca de 29 milhões de pessoas e roubaram nome e detalhes de
contato dos usuários.
A
empresa informou no dia 28 de setembro que os hackers haviam roubado códigos de
acesso digital, permitindo o acesso a quase 50 milhões de contas de usuários,
mas não confirmou, na época, se as informações haviam sido realmente roubadas. Em
nota, a empresa disse que, em 15 milhões de contas, os invasores acessaram dois
conjuntos de informações: nome e detalhes de contato, incluindo número de
telefone, e-mail ou ambos, dependendo do que os indivíduos tinham em seus
perfis.
Em
outras 14 milhões de contas, os hackers também acessaram outros detalhes,
incluindo nome de usuário, gênero, localidade/idioma, status de relacionamento,
religião, cidade natal, data de nascimento, dispositivos usados para acessar
o Facebook, educação, trabalho e os últimos 10 locais onde estiveram ou em que
foram marcados. (Confira na íntegra o comunicado oficial). “Estamos
cooperando com o FBI, que está investigando ativamente e nos pediu para não
discutir quem pode estar por trás desse ataque”, explica a empresa.
Central de ajuda
Ao
G1, a empresa havia afirmado em setembro que ainda não tinha a confirmação de
que o problema afetou perfis no Brasil. Apesar disso, várias pessoas disseram
no Twitter que foram deslogadas de suas contas no Facebook. Os engenheiros do
Facebook afirmaram, na ocasião, que “não havia necessidade de ninguém mudar
suas senhas”. Agora,
por meio do comunicado geral, a empresa explica que para saber se suas
informações foram afetadas, os usuários podem checar visitando a Central de
Ajuda no Facebook.
Nos
próximos dias, o Facebook irá enviar mensagens customizadas a cada uma das 30
milhões de pessoas afetadas para explicar quais informações os invasores podem
ter acessado, bem como medidas que elas podem tomar para ajudar a se proteger,
incluindo de e-mails maliciosos, mensagens de texto ou chamadas telefônicas.
Outras redes sociais
De
acordo com o Facebook, o ataque não incluiu as redes do Messenger, Messenger
Kids, Instagram, Oculos, Workplace, páginas, pagamentos, aplicativos de
terceiros ou contas de desenvolvedores ou anunciantes. “Enquanto
investigamos outras formas pelas quais as pessoas que estão por trás deste
ataque usaram o Facebook, bem como a possibilidade de ataques em menor escala,
continuaremos a cooperar com o FBI, a Comissão Federal de Comércio dos Estados
Unidos, a Comissão de Proteção de Dados da Irlanda e outras autoridades”,
finaliza o comunicado.
Como os hackers agiram
A
falha explorou uma brecha no código relacionada ao recurso “Ver como”, que
mostra ao usuário como o perfil dele é exibido para outras pessoas. Primeiro,
os invasores já controlavam um número de contas, que estavam conectadas com as
contas existentes de amigos no Facebook. A partir daí, eles usaram uma técnica
de automação para se mover de uma conta para outra, para que pudessem roubar os
tokens de acesso desses amigos, e então de amigos de amigos e assim por diante,
totalizando cerca de 400 mil pessoas.
Durante
esse processo, contudo, essa técnica automaticamente carregou o perfil de 400
mil contas do Facebook. Isso incluiu posts na timeline, suas listas de amigos,
grupos dos quais eram membros e os nomes de pessoas com as quais tinham
conversado recentemente no Messenger. Apenas
o conteúdo das mensagens não ficou disponível aos invasores. Porém, se alguém
neste grupo era administrador de uma Página que recebeu uma mensagem de alguém
no Facebook, então o conteúdo da mensagem ficou disponível aos invasores.
Portal
R7
Nenhum comentário:
Postar um comentário