O sytuacji powiadomił w piątek, 28 września Guy Rosen, wicedyrektor ds. zarządzania produktem Facebooka. W komunikacie na stronie firmy przyznał, że zespół inżynierów Facebooka wykrył we wtorek, 25 września poważną lukę w zabezpieczeniach systemu. Cyberprzestępcy mogli przez nią wykorzystywać w niepoprawny sposób funkcję „Wyświetl jako” (ang. „View as”), która pozwala użytkownikom zobaczyć, jak ich profil wygląda dla osób spoza kręgu ich znajomych. W efekcie mogły zostać wykradzione dane blisko 50 milionów kont.
Po dwóch tygodniach Facebook opublikował bardziej szczegółowe informacje. Jak poinformował internetowy gigant w oficjalnym oświadczeniu, atakujący wykradli tokenu dostępu dla ok. 30 mln osób.
Na czym polegała luka na Facebooku?
W przypadku 15 milionów użytkowników hakerzy uzyskali dostęp do dwóch zestawów informacji - nazwiska i danych kontaktowych (numer telefonu, adres e-mail lub oba, w zależności od tego, co ludzie mieli zapisane w swoich profilach).
W przypadku 14 milionów osób atakujący uzyskał dostęp do tych samych dwóch zestawów informacji, ale także innych, bardziej szczegółowych: nazwy użytkownika, płci, języka i kraju, statusu związku, religii, miasta rodzinnego, miasta zamieszkiwanego, daty urodzenia, typu urządzeń używanych do uzyskania dostępu do Facebooka, wykształcenia, pracy, 10 ostatnich miejsc, w których się zameldowano lub w których się "oznaczono", obserwowanych na Facebooku stron lub profili prywatnych oraz 15 ostatnich wyszukiwań.