In un breve post pubblicato venerdì, Facebook ha rivelato che il suo team di sicurezza ha scoperto l’attacco il 25 settembre e stanno ancora indagando sull’incidente di sicurezza.
La vulnerabilità, i cui dettagli tecnici non sono stati ancora resi noti e ora rattoppati da Facebook, risiede nella funzione “Visualizza come”, un’opzione che consente agli utenti di scoprire cosa vedrebbero gli altri utenti di Facebook se visitassero il tuo profilo.
Secondo il gigante dei social media, la vulnerabilità consentiva agli hacker di rubare i token di accesso segreti che potevano quindi essere utilizzati per accedere direttamente alle informazioni private degli utenti senza richiedere la password dell’account originale o la convalida del codice di autenticazione a due fattori.
I token di accesso segreti “sono l’equivalente dei tasti digitali che tengono le persone loggate su Facebook, quindi non hanno bisogno di reinserire la propria password ogni volta che usano l’app.”
Per impedire gli account degli utenti, Facebook ha già ripristinato i token di accesso per quasi 50 milioni di account Facebook interessati e altri 40 milioni di account, a titolo precauzionale.
“Lo prendiamo incredibilmente sul serio e vogliamo far sapere a tutti cosa è successo e l’azione immediata che abbiamo preso per proteggere la sicurezza delle persone”, ha detto Facebook.
“Di conseguenza, circa 90 milioni di persone dovranno ora accedere a Facebook o a qualsiasi app che utilizza Facebook Login. Dopo aver effettuato il login, le persone riceveranno una notifica nella parte superiore del loro feed di notizie che spiega cosa è accaduto.”
La funzione “ Visualizza come “ è stata temporaneamente disabilitata, al momento della scrittura. Facebook ha anche informato i funzionari delle forze dell’ordine della violazione della sicurezza.
