O Facebook disse, nesta sexta-feira (12), que os hackers responsáveis por um ataque à rede social descoberto em setembro tiveram acesso às contas de cerca de 29 milhões de pessoas e roubaram nome e detalhes de contato dos usuários.
Para checar se sua conta foi afetada acesse a Central de Ajuda do Facebook (disponível somente em inglês).
A empresa informou no dia 28 de setembro que os hackers haviam roubado códigos de acesso digital, permitindo o acesso a quase 50 milhões de contas de usuários, mas não confirmou, na época, se as informações haviam sido realmente roubadas.
Em nota, a empresa disse que, em 15 milhões de contas, os invasores acessaram nomes e detalhes de contato (incluindo número de telefone, e-mail ou ambos), dependendo do que os indivíduos tinham em seus perfis.
Em outras 14 milhões de contas, os hackers também acessaram outros detalhes, incluindo nome de usuário, gênero, localidade/idioma, status de relacionamento, religião, cidade natal, data de nascimento, dispositivos usados para acessar o Facebook, educação, trabalho e os últimos 10 locais onde estiveram ou em que foram marcados (Confira na íntegra o comunicado oficial).
"Estamos cooperando com o FBI, que está investigando ativamente e nos pediu para não discutir quem pode estar por trás desse ataque", diz a empresa.
Como os hackers agiram
A falha explorou uma brecha no código relacionada ao recurso "Ver como", que mostra ao usuário como o perfil dele é exibido para outras pessoas.
Primeiro, os invasores já controlavam um número de contas, que estavam conectadas com as contas existentes de amigos no Facebook. A partir daí, eles usaram uma técnica de automação para se mover de uma conta para outra, para que pudessem roubar os tokens de acesso desses amigos, e então de amigos de amigos e assim por diante, totalizando cerca de 400 mil pessoas.
Durante esse processo, essa técnica automaticamente carregou o perfil de 400 mil contas do Facebook. Isso incluiu posts na timeline, suas listas de amigos, grupos dos quais eram membros e os nomes de pessoas com as quais tinham conversado recentemente no Messenger.
Apenas o conteúdo das mensagens não ficou disponível aos invasores. Porém, se alguém neste grupo era administrador de uma página no Facebook e recebeu uma mensagem de alguém na rede social, então, sim, o conteúdo da mensagem ficou disponível aos hackers.