Facebook diz que hackers não usaram logins roubados em apps de terceiros

O Facebook afirmou nesta terça-feira, 2/10, que a sua investigação determinou que o recente vazamento de dados de mais de 50 milhões de contas não afetou apps de terceiros que usam dados de login da rede social. Em um post na área de imprensa do site da empresa, o VP de gerenciamento de produtos do FB, Guy Rosen, aponta que os invasores não acessaram apps de terceiros usando o Facebook Login.

“Recebemos perguntas sobre o que o ataque significou para os aplicativos usando o Facebook Login. Concluímos a análise de logins de todos os aplicativos de terceiros instalados ou logados durante este ataque. Essa investigação não encontrou até o momento evidências de que os invasores tenham acessado qualquer um dos apps usando o Facebook Login”, explica o executivo no comunicado em questão.

Recomendações desenvolvedores

Além disso, o Facebook também publicou algumas recomendações de segurança para os desenvolvedores envolvendo o Facebook Login, inluindo usar os kits oficiais de desenvolvimento de software da empresa (para iOS, Android e JavaScript) e usar a Graph API para manter dados atualizados.

Confira abaixo as práticas recomendadas pela rede aos desenvolvedores:

• Use os kits oficiais do Facebook para desenvolvimento de software para Android, iOS e JavaScript – eles irão automaticamente checar a validade dos tokens de acesso diariamente, e exigir um login novo quando os tokens de acesso forem reiniciados pelo Facebook, protegendo a segurança das contas dos usuários.
• Use a Graph API para manter as informações atualizadas e sempre desconecte usuários dos aplicativos quando códigos de erro mostrarem que qualquer sessão no Facebook é inválida.

Entenda o caso

Em um post publicado na sexta, 28/9, o Facebook afirmou já ter corrigido a vulnerabilidade e explicou que os invasores em questão exploraram uma vulnerabilidade no código da plataforma que impactou o recurso View As (Visualizar Como), que permite que os usuários vejam como os seus perfis aparecem para outras pessoas – a funcionalidade foi desabilitada temporariamente pela plataforma como medida preventiva.

“Isso permitiu que eles roubassem tokens de acesso do Facebook que eles poderiam usar para assumir as contas das pessoas. Os tokens de acesso são equivalentes a chaves digitais que mantém as pessoas logadas no Facebook de forma que elas não precisem redigitar suas senhas sempre que usam o aplicativo”, explicou a companhia em seu blog.

Além das 50 milhões de contas que já se sabe que foram afetadas pelo problema, o Facebook também afirma que outras 40 milhões pessoas podem ter sido vítimas do mesmo ataque. Por conta disso, um total de 90 milhões de usuários da rede social foram deslogadas de suas contas no final de semana como forma de prevenção.