Facebook supo que sus sistemas eran vulnerables y omitió advertir a usuarios

El inicio de sesión único conecta a los usuarios con aplicaciones y servicios de terceros mediante sus datos de inicio de sesión de Facebook.

La demanda, que combina varias acciones legales, deriva del peor incidente de vulnerabilidad de seguridad de Facebook que sucedió en septiembre de 2018 en el cual los hackers robaron códigos de inicio de sesión llamados “token de acceso” que les permitió acceder a casi 29 millones de cuentas.

“Facebook tenía conocimiento sobre la vulnerabilidad del token de acceso y falló en arreglarlo por años, a pesar de su conocimiento”, dijeron los demandantes en una sección fuertemente redactada del expediente de la Corte de Distrito del Distrito Norte de California en San Francisco.

“Lo más escandaloso es que Facebook tomó medidas para proteger a sus propios empleados del riesgo de seguridad, pero no a la gran mayoría de sus usuarios”.

Facebook no respondió inmediatamente a la petición de comentarios.

El juez William Alsup dijo a Facebook en enero que estaba dispuesto a permitir “investigaciones devastadoras” en el caso para descubrir cuánta información de los usuarios fue robada.

Facebook ha revelado pocos detalles desde que reveló el ataque, afirmando únicamente que afectó a un “amplio” espectro de usuarios, sin revelar el número de usuarios por país.

Los atacantes tomaron detalles del perfil tales como fechas de nacimiento, empleo, historial académico, preferencias religiosas, tipos de dispositivos utilizados, páginas que siguen y búsquedas recientes y ubicación de 14 millones de usuarios.

De los otros 15 millones de usuarios, la filtración fue únicamente del nombre y detalles de contacto. Adicionalmente, los hackers pudieron ver las publicaciones y listas de amigos y grupos de aproximadamente 400,000 usuarios.

Los hackers no robaron mensajes personales, ni información financiera, y no accedieron a las cuentas de usuarios en otros sitios web”, afirmó Facebook.