Pelo menos o nome e a informação de contacto de 29 milhões de utilizadores do Facebook foram expostos num ataque informático que a empresa tornou público no final do mês passado. Em perto de metade dos casos, a informação obtida pelos atacantes foi muito mais detalhada, e incluiu elementos como o local de trabalho, data de nascimento, dispositivos usados e as pesquisas feitas na rede social.

Nesta sexta-feira, o Facebook divulgou nova informação sobre o ataque, indicando agora que foram afectados 30 milhões de contas, em vez dos 50 milhões inicialmente estimados, e dando mais detalhes sobre os dados a que os atacantes foram capazes de aceder.

Dos utilizadores cujas contas foram comprometidas, 15 milhões tiveram o nome, o número de telemóvel e o e-mail (caso os tivessem no respectivo perfil) expostos aos atacantes.

Já 14 milhões foram alvo de uma intrusão mais profunda, com os atacantes a acederem também a informação como a localização geográfica indicada no perfil, a data de nascimento, locais de estudo e de trabalho, os dispositivos usados para aceder à rede social, os locais em que o utilizador foi identificado, as últimas 15 pesquisas feitas e ainda as páginas e pessoas seguidas.

Por fim, houve um milhão de contas atacadas das quais não foi extraída informação. A rede social tem cerca de 2,3 mil milhões de utilizadores que recorrem ao serviço pelo menos uma vez por mês.

O Facebook, que desde o início do ano se tem debatido com vários problemas de segurança e privacidade, criou uma página onde os utilizadores podem verificar se as respectivas contas foram afectadas, e tem estado a notificar aqueles que foram alvo de intrusão.

Na informação agora publicada, rede social diz ter detectado actividade suspeita no dia 14 de Setembro, dando então início a uma investigação. No dia 25, concluiu tratar-se de um ataque e identificou a vulnerabilidade, que é descrita como “o resultado de uma intersecção complexa de três falhas de software distintas”. De acordo com o Facebook, o problema foi corrigido em dois dias.

Os atacantes foram capazes de explorar a ferramenta “ver como” (que dá a um utilizador a possibilidade de ver o seu próprio perfil como se fosse outra pessoa) e de roubar “o equivalente de uma chave digital”, que identifica cada utilizador e com a qual era possível aceder às contas. Esta “chave” faz parte de uma técnica usada pelo Facebook (e por muitos outros serviços online) para manter os utilizadores registados sem ter de lhes pedir recorrentemente a palavra-passe.

Em Abril, o Facebook tinha tornado público o caso da Cambridge Analytica, a empresa britânica de consultoria política que é acusada de ter acedido ilicitamente a informação de 87 milhões de utilizadores. Já em Julho, a rede social admitiu a existência de campanhas concertadas de desinformação através das suas plataformas, incluindo o Instagram.

O Facebook diz agora estar a colaborar com o FBI, que está “activamente a investigar” o novo caso e que pediu à empresa para não revelar informação sobre quem possa estar por trás do ataque.