Facebook denunció este viernes una masiva filtración de datos que habría afectado hasta 50 millones de usuarios. Según un informe del New York Times, Facebook descubrió el ataque el martes y se puso en contacto con el FBI.
El exploit descubierto permitía a los atacantes hacerse cargo del control de las cuentas, por lo que, como medida de precaución, la red social ha cerrado automáticamente más de 90 millones de perfiles potencialmente comprometidos.
"Este es un problema de seguridad realmente serio y lo tomamos como tal", aseguró Mark Zuckerberg, CEO de Facebook, a los periodistas en una conferencia de prensa organizada especialmente para comunicar este incidente.
Los atacantes aprovecharon vulnerabilidades en el código de la función "Ver como" de Facebook, lo que les permitió huir con tokens de acceso (especies de cookies diseñadas para seguridad) que luego podrían utilizarse para secuestrar todo tipo de cuentas.
La compañía confirmó que solucionó la vulnerabilidad el jueves por la noche, deshabilitó la función “Ver como” y restableció los tokens de acceso para las 50 millones de cuentas que habrían sido afectadas, así como a otras 40 millones de personas que usaron la función vulnerada desde su implementación el año pasado, por simple medida de precaución. Los portavoces de la compañía no pudieron confirmar si esta violación de datos estaba de alguna manera relacionada con las amenazas de un hacker de eliminar la cuenta de Mark Zuckerberg en una transmisión en vivo realizada esta misma semana.
"Este ataque aprovechó la compleja interacción de múltiples problemas en nuestro código", escribió en un comunicado Guy Rosen, vicepresidente de gestión de productos. "Se debió a un cambio que hicimos en nuestra función de carga de videos en julio de 2017, que impactó en 'Ver como'. Los atacantes no solo necesitaban encontrar esta vulnerabilidad y usarla para obtener un token de acceso, sino que tenían que pasar de esa cuenta a otros para robar más tokens ".
Al respecto, el ejecutivo aclaró que por el momento "no hay necesidad de que nadie cambie sus contraseñas”.