Είναι η χειρότερη επίθεση από χάκερ που έχει δεχθεί ποτέ το Facebook – ενδεχομένως να εκτέθηκαν έως και 90 εκατομμύρια λογαριασμοί. Και έρχεται στο πέρας μιας φριχτής χρονιάς για τον ιστότοπο κοινωνικής δικτύωσης που ίδρυσε ο Μαρκ Ζάκερμπεργκ πριν από 14 χρόνια, με το σκάνδαλο της Cambridge Analytica, τη θύελλα των fake news και τις απανωτές συγγνώμες χωρίς ιδιαίτερο αντίκρισμα του Ζάκερμπεργκ να έχουν καταφέρει βαρύ πλήγμα στην αξιοπιστία του. Το κενό ασφαλείας θεωρητικά «έκλεισε». Το τι ακριβώς πρόλαβαν να κάνουν οι χάκερ ωστόσο απομένει να φανεί – η έρευνα μόλις ξεκίνησε.
Την ανακοίνωση έκανε την Παρασκευή ο Γκι Ρόουζεν, αντιπρόεδρος του Facebook, επισημαίνοντας πως η εταιρεία είχε ανακαλύψει τη μαζική παραβίαση της ασφάλειάς του την Τρίτη και διόρθωσε το ζήτημα την Πέμπτη, ενημερώνοντας παράλληλα το FBI, το αμερικανικό υπουργείο Εσωτερικής Ασφάλειας, το Κονγκρέσο καθώς και την Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας, όπου και έχει το αρχηγείο της. Η ταυτότητα των χάκερ παραμένει άγνωστη και όπως ομολόγησε ο Ρόουζεν, «ενδεχομένως να μην τη μάθουμε ποτέ», το εύρος και η περιπλοκότητα της επίθεσης πάντως δείχνουν «ένα κάποιο επίπεδο τεχνογνωσίας».
Οι χάκερ εκμεταλλεύτηκαν «μία περίπλοκη αλληλεπίδραση πολλαπλών ζητημάτων» στον κώδικα του Facebook. Στην πηγή του κενού ασφαλείας, ωστόσο, βρίσκεται μια αλλαγή που έκανε το Facebook στη λειτουργία ανάρτησης βίντεο τον Ιούλιο του 2017 – αλλαγή η οποία επηρέασε τη λειτουργία «Προβολή ως», που επιτρέπει στον χρήστη να ελέγξει πώς εμφανίζεται το προφίλ του σε κάποιον άλλο χρήστη ή δημόσια. Το κενό επέτρεψε στους χάκερ να υποκλέψουν εκατομμύρια access tokens, τα ψηφιακά κλειδιά που επιτρέπουν στους χρήστες να παραμένουν συνδεδεμένοι στο Facebook χωρίς να πληκτρολογούν κάθε φορά τον κωδικό πρόσβασής τους. Χάρη σε αυτά τα ψηφιακά κλειδιά όμως, δεν απέκτησαν ενδεχομένως πλήρη πρόσβαση μόνο στους λογαριασμούς των χρηστών που έπεσαν θύματα αλλά και σε όλες τις εφαρμογές και ιστοτόπους όπου οι τελευταίοι είχαν συνδεθεί μέσω Facebook.
H εταιρεία δήλωσε πως δεν υπάρχει ανάγκη να αλλάξει κανείς τον κωδικό πρόσβασής του: έχει ήδη επαναφέρει η ίδια τα access tokens των σχεδόν 50 εκατομμυρίων λογαριασμών που γνωρίζει ότι επλήγησαν αλλά και (ως επιπλέον προληπτικό μέτρο) ακόμα 40 εκατομμυρίων λογαριασμών που είχαν χρησιμοποιήσει τη λειτουργία «Προβολή ως» τον τελευταίο χρόνο. Παράλληλα, απενεργοποίησε προσωρινά τη λειτουργία αυτή έως ότου διερευνήσει σε βάθος το ζήτημα. Συνολικά 90 εκατομμύρια χρήστες, λοιπόν, κλήθηκαν (ή θα κληθούν) να επανασυνδεθούν στο λογαριασμό τους στο Facebook – με ένα μήνυμα να τους ενημερώνει αυτομάτως στη συνέχεια για το τι έχει συμβεί.
«Πραγματικά σοβαρή» χαρακτήρισε ο ίδιος ο Μαρκ Ζάκερμπεργκ την παραβίαση ασφαλείας. Μεταξύ των λογαριασμών που εκτέθηκαν, άλλωστε, βρίσκεται τόσο ο δικός του όσο και εκείνος της γενικής διευθύντριας του Facebook Σέριλ Σάντμπεργκ. Ακριβώς πόσο σοβαρό ήταν αυτό που συνέβη ωστόσο, δεν το γνωρίζουμε προς το παρόν. «Πρόκειται για ακόμα μία ζοφερή απόδειξη ότι το Κογκρέσο πρέπει να κινητοποιηθεί και να λάβει επιπλέον μέτρα για την προστασία της ιδιωτικότητας και της ασφάλειας των χρηστών κοινωνικών ιστοτόπων», δήλωσε ο Δημοκρατικός γερουσιαστής Μαρκ Ουόρνερ – ενώ διεξάγονται ήδη ανά τον κόσμο δημόσιες έρευνες για τις πρακτικές του Facebook σε θέματα ασφαλείας. Δύο αμερικανοί χρήστες προσέφυγαν από την Παρασκευή στην Καλιφόρνια στη Δικαιοσύνη κατηγορώντας το Facebook πως τα κενά του σε θέματα ασφαλείας εξέθεσαν τους ίδιους αλλά και εκατομμύρια άλλους στον κίνδυνο κλοπής της ταυτότητάς τους.
Το κίνημα #deleteFacebook
Σε ανακοίνωσή της, η ιρλανδική Επιτροπή Προστασίας Δεδομένων εξέφρασε την ανησυχία της για το γεγονός ότι το Facebook «δεν ήταν σε θέση να διευκρινίσει τη φύση της παραβίασης ασφαλείας και τους κινδύνους για τους χρήστες», επισημαίνοντας πως το πιέζει για απαντήσεις. Πολλοί εκτιμούν τώρα ότι το κίνημα #deleteFacebook (διαγράψτε το προφίλ σας στο Facebook) θα ενταθεί.