Facebook ha desvelado más información sobre la brecha de seguridad que detectaron la semana pasada que afectó a potencialmente entre 50 y 90 millones de sus usuarios, el 10% de los cuales eran europeos. La cifra final, según la compañía, se ha reducido a unos 30 millones después de poder estudiar con más detenimiento el caso.
Guy Rosen, el director de producto de Facebook, ha comunicado en rueda de prensa abierta digital con reporteros y en un artículo posterior oficial los nuevos detalles de este ataque, de nuevo utilizando la fecha del viernes por la tarde para la revelación. El fallo, que permaneció operativo durante un periodo de 14 meses hasta septiembre de 2018, comenzó con un set de 400,000 cuentas previamente controladas por los atacantes.
Estas 400,000 cuentas se utilizaron como puerta de entrada, según la compañía, para acceder a los datos personales del resto de los 30 millones de cuentas afectadas a través de la combinación de tres agujeros de seguridad distintos. Facebook ha dividido a los afectados en dos grupos de tamaño similar. En el primero, de 15 millones de afectados, los atacantes pudieron acceder a datos personales como el teléfono móvil, dirección de correo electrónico y su nombre, es decir: los datos básicos de acceso salvo la contraseña de Facebook respectiva de cada usuario.
Para el segundo grupo, algo más pequeño con unos 14 millones de afectados, los atacantes consiguieron mucha más información, en ocasiones sus perfiles completos: identidad sexual, idioma, estado de relación sentimental, datos religiosos, lugar de origen, ciudad de residencia, fecha de nacimiento, dispositivos utilizados para acceder a Facebook, datos educativos y laborales, los últimos 10 lugares marcados como visitados, sitio web personal, lista de contactos y de páginas que seguían, y sus últimas 15 búsquedas en Facebook. Un ataque mucho más grave de lo que se pensaba, aunque afecta a menos personas de lo reportado previamente.
Un tercer grupo identificado como atacado por la compañía, compuesto por un millón de usuarios, no fueron víctimas de ningún dato filtrado gracias aparentemente, a su configuración de privacidad. Durante los próximos días Facebook enviará un mensaje personalizado a cada uno de los 30 millones de usuarios afectados informándoles de la situación.