Facebook a révélé que 30 millions de personnes ont vu leurs jetons d'accès Facebook atteints par la brèche découverte et divulguée à la fin septembre.

De ce nombre, 29 millions ont également fait l'objet d'un balayage d'au moins une partie des données de leur profil. Le million d'utilisateurs restants se sont fait voler leurs jetons d'accès, mais leurs informations personnelles n'ont pas été consultées, selon la dernière mise à jour du vice-président de la gestion des produits de Facebook, Guy Rosen.

Le dernier bilan est en baisse par rapport aux 50 millions d'utilisateurs que l'on croyait initialement être les victimes d'un incident de sécurité au cours duquel des cybercriminels ont exploité trois bogues dans le code de Facebook pour voler les jetons d'accès des utilisateurs. De plus, un autre 40 millions de personnes ont été jugées à risque, ce qui a incité le réseau social à forcer un total de 90 millions d'utilisateurs à se déconnecter en révoquant leurs jetons d'accès.

Rosen a partagé quelques détails supplémentaires concernant le type d'information prélevée : « Pour 15 millions de personnes, les attaquants ont accédé à deux séries d'informations : le nom et les coordonnées (numéro de téléphone, adresse de courrier électronique, ou les deux, selon l’information figurant à leur profil). Pour 14 millions de personnes, les attaquants ont accédé à ces deux mêmes ensembles d'informations, ainsi qu'à d'autres détails que les gens avaient sur leurs profils. »

C'est là que la situation devient particulièrement déconcertante, puisque les données recueillies sur ces 14 millions de personnes sont plutôt détaillées et diverses.

Ceux-ci comprennent leur : « nom d'utilisateur, sexe, localité/langue, statut de la relation, religion, ville natale, ville actuelle déclarée, la date de naissance, types d'appareils utilisés pour accéder à Facebook, études, travail, 10 derniers endroits où ils se sont rendus ou ont été marqués, site Web, personnes ou pages suivies et 15 dernières recherches. »

C'est le genre d'information qui, entre autres choses, peut être utilisée par des personnes malveillants pour une variété de plans ciblés de leur cru.

Quant à la façon dont les données ont été volées, Rosen a déclaré que les attaquants, qui sont encore inconnus, ont utilisé un programme automatisé qui passait d'un ami à l'autre, encore et encore. En utilisant un ensemble de comptes sous leur contrôle comme rampe de lancement, les attaquants ont exploité trois bogues interconnectés dans la fonctionnalité « View As » [NDLT : ou « Afficher en tant que »] du réseau afin de lever les jetons pour les amis des comptes contrôlés, ainsi que pour les amis des amis des amis et ainsi de suite, « totalisant environ 400 000 personnes. » En fin de compte, seule une partie des 400 000 listes d'amis des utilisateurs a suffi pour piller les jetons d'accès de 30 millions de personnes.

Les utilisateurs de Facebook peuvent vérifier si leurs données ont été volées en visitant cette page du Centre d'aide du réseau social. Facebook a également indiqué que, le cas échéant, elle informera les victimes des types d'information figurant sur leur profil qui ont été touchés par l'incident.

Ni Messenger, ni Messenger Kids, Instagram, WhatsApp, ou des applications tierces n'ont été affectés.