Facebook a déclaré vendredi qu'un la violation a touché 50 millions de personnes sur le réseau social.
La vulnérabilité provenait de la fonctionnalité « Voir en tant que » de Facebook, qui permet aux utilisateurs de voir à quoi ressemblent leurs profils. Les attaquants ont exploité le code associé à cette fonctionnalité pour voler des « jetons d'accès » permettant de prendre le contrôle des comptes.
Bien que les jetons d'accès ne constituent pas un mot de passe, ils permettent aux utilisateurs de se connecter à leurs comptes sans en avoir besoin. Par mesure de précaution, Facebook a déconnecté environ 90 millions de personnes de leurs comptes, a indiqué l'entreprise.
Le réseau social a déclaré avoir découvert l'attaque en début de semaine. L'entreprise a informé le FBI et la Commission irlandaise de protection des données. Facebook a indiqué que l'enquête en était à ses débuts et qu'il ignorait encore qui était derrière ces attaques.