Pomocí funkce dokázali hackeři získat takzvaný přístupový token. Ten je generován při každém přihlášení a umožňuje přístup k síti bez nutnosti dalšího zadání hesla. Narušení bezpečnosti se podle společnosti mohlo dotknout i dalších aplikací, které Facebook používají k přihlášení, jako je například Instagram.

Společnost přijala bezpečnostní opatření v podobě vynuceného odhlášení zhruba 90 milionů profilů. Tím došlo ke zrušení platnosti tokenů. Facebook zároveň dočasně vypnul rizikovou funkci a pracuje na opravě chyby.

Riziko je zažehnáno

Představitelé firmy v prohlášení uvedli, že narušení bezpečnosti odhalili na začátku týdne. Společnost okamžitě informovala americký Federální úřad pro vyšetřování (FBI) a irskou komisi pro ochranu dat. Vyšetřování je podle Facebooku na počátku a dosud není jasné, kdo za útokem stojí. Podle Facebooku však již další nebezpečí nehrozí a napadení uživatelé nemusí měnit svá hesla, ke kterým se útočníci nemohli dostat.

„Je to opravdu vážný bezpečnostní problém,“ uvedl na páteční tiskové konferenci šéf Facebooku Mark Zuckerberg. „Dokazuje, že se někteří lidé neustále snaží napadnout účty uživatelů a ukrást jejich data. Bude to neustále pokračující boj.“ 

Narozeninová trhlina

Chybu způsobily novinky, které společnost implementovala v červenci roku 2017 a přinesly mimo jiné funkci, nabízející uživatelům vytvoření narozeninových videí. „Hackeři si pomocí funkce ‚zobrazit jako‘ prohlíželi profil očima jiného uživtele. Někdy se však vinou chyby zobrazil nástroj pro zveřejnění narozeninového videa. Díky další chybě ve videopřehrávači pak útočníci získali přístupový token a kontrolu nad účtem uživatele,“ vysvětluje portál Cnet.

Postup následně zopakovali s novým účtem, pak s dalšími a dalšími. Získali tak přístup k milionům profilů. „Hackeři své útoky vystupňovali takovým způsobem, že jejich aktivita v září letošního roku zaujala bezpečnostní tým Facebooku, který okamžitě zahájil vyšetřování,“ popsal víceprezident společnosti Guy Rosen.

Efekt GDPR

K rychlému zveřejnění případu podle odborníků přispěla evropské Obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR. „Nařízení donutilo Facebook ke zveřejnění narušení bezpečnosti mnohem dříve, než by to běžně udělali. Ještě předtím, než dokázali plně odhalit příčinu,“ myslí si analytik Fatemeh Khatibloo. 

Rychlejší upozorňování na bezpečnostní hrozby bude mít na Facebook podle Debry Farberové z technologické firmy BigID pozitivní dlouhodobý dopad. „Možná to nebude dneska ani zítra, ale podobné kroky rozhodně povedou ke zvýšení důvěry uživatelů,“ uvedla pro Cnet.