Facebook publicó más información sobre la vulnerabilidad que informó el 28 de septiembre. Según se dijo en ese entonces, la falla habría afectado a 50 millones de usuarios pero ahora la compañía publicó en su blog que en realidad los usuarios impactados fueron 30 millones.
Infobae
Los hackers explotaron una vulnerabilidad en el código de Facebook que existió entre julio de 2017 y septiembre de 2018. La vulnerabilidad surgió de una interacción de tres errores de software distintos y afectó a la herramienta “Ver como”, que permite a las usuarios cómo se luce su propio perfil para otra persona.
La falla les permitió a los atacantes robar tokens de acceso a Facebook, que luego podían usarse para hacerse cargo de las cuentas de las personas. Los tokens de acceso son equivalentes a las claves digitales que mantienen a las personas conectadas a Facebook para que no tengan que volver a ingresar su contraseña cada vez que usan la aplicación.
“Ahora sabemos que menos personas se vieron afectadas de lo que pensábamos originalmente. De los 50 millones de personas cuyos tokens de acceso creímos que fueron afectados, alrededor de 30 millones en realidad les robaron sus tokens”, publicó la compañía.
Las 30 millones de personas fueron afectadas de diferentes maneras. Los atacantes accedieron a nombre y detalles de contacto (número de teléfono, correo electrónico o ambos, dependiendo de lo que las personas tenían en sus perfiles) de 15 millones de cuentas.
En otros 14 millones de perfiles, los atacantes accedieron, además de a esos datos, a otros detalles que las personas tenían en sus perfiles, como el nombre de usuario, el género, la ubicación, el idioma, el estado de relación, la religión, la ciudad natal, la ciudad actual, la fecha de nacimiento, los tipos de dispositivos utilizados para acceder a Facebook, la educación, el trabajo así como los últimos 10 lugares en los que se registraron o se etiquetaron en el sitio web, personas o páginas que siguen, y las 15 búsquedas más recientes. En el millón de cuentas restantes si bien estuvieron expuestas, los atacantes no accedieron a ninguna información.
La red social dijo que enviará un mensaje a las 30 millones de cuentas que fueron afectadas de algún modo por este incidente. A su vez, remarcaron que seguirán investigando este incidente para ofrecer más novedades, si así surgieran y que continuará cooperando con el FBI, la Comisión Federal de Comercio de los EE. UU., la Comisión de Protección de Datos de Irlanda y otras autoridades.