corrigió la cifra de usuarios afectados por el incidente de seguridad que anunció hace apenas unas semanas, e indicó que fueron robados los tokens de acceso de 30 millones de personas, y no de 50 millones, como informó originalmente. En un comunicado la empresa destaca que han trabajado sin pausa para investigar el incidente que descubrieron y repararon hace dos semanas, para ayudar a las personas a entender a qué información pudieron haber tenido acceso los atacantes.
Explica que entre julio del 2017 y septiembre del 2018, los atacantes aprovecharon una vulnerabilidad que existió en el código de Facebook, resultado de una interacción de tres bugs de software e impactó la función “Ver Cómo”, que permite a las personas visualizar cómo otros ven sus perfiles.
Eso posibilitó que los atacantes robaran tokens de acceso a Facebook, equivalentes a llaves digitales que mantienen a las personas conectadas a Facebook, evitando que ingresen sus claves cada vez que usan la aplicación, y que pudieron ser usados para tomar el control de las cuentas de las personas.
“Tenemos una idea de quién estuvo atrás de ese ataque y pasamos esa información al FBI, que está investigando activamente lo que pasó y nos pidió no comentar más. Sabemos también que el número de personas impactadas es menor de lo que pensamos inicialmente”, apuntó.
Refiere que en el caso de 15 millones de personas, los atacantes accedieron a dos tipos de contenidos: nombre y detalles de contacto (número de teléfono, email o ambos, dependiendo de la información disponible en el perfil).
Mientras que para otros 14 millones de personas, los atacantes accedieron a esos dos tipos de información, además de nombres de usuario, género, local e idioma, estatus de relación, religión, lugar de origen, ciudad actual reportada y fecha de nacimiento.
Así como el tipo de dispositivo que usan para acceder a Facebook, educación, ocupación, los últimos 10 lugares donde hicieron check in, website, las personas o páginas que siguen y sus 15 búsquedas más recientes. En el caso del restante millón de personas, los atacantes no tuvieron acceso a ninguna información.
Facebook comenta que en los próximos días enviarán mensajes a los 30 millones de personas afectadas, para explicar a qué tipo de información pudieron tener acceso los atacantes, además de las medidas que pueden tomar para ayudar a protegerse de e-mails, mensajes de texto o llamadas sospechosas.
“Este ataque no incluyó Messenger , Messenger Kids , Instagram , Oculus , Workplace , Páginas, aplicaciones de terceros o cuentas de anunciantes o desarrolladores, aunque seguimos investigando cómo puede haber impactado a los Grupos”, concluyó la firma.