Facebook meldde een grote inbreuk op de beveiliging waarbij 50 miljoen gebruikersaccounts werden geopend door onbekende aanvallers.

De aanvallers kregen de mogelijkheid om de "controle" over die gebruikersaccounts te krijgen, Facebook zei, door digitale sleutels te stelen die het bedrijf gebruikt om gebruikers ingelogd te houden. Ze zouden dit kunnen doen door gebruik te maken van drie verschillende bugs in de code van Facebook.

Het bedrijf zei dat het de bugs heeft opgelost en de 50 miljoen gehackte gebruikers heeft uitgelogd - plus nog eens 40 miljoen die kwetsbaar waren voor de aanval - om die digitale sleutels te resetten. Gebruikers hoeven hun Facebook-wachtwoord niet te wijzigen, het zei.

Facebook zei dat het niet weet wie er achter de aanvallen zat of waar ze zijn gebaseerd. In een gesprek met verslaggevers op vrijdag, CEO Mark Zuckerberg - wiens eigen account was gehackt - zei dat aanvallers de mogelijkheid zouden hebben gehad om privéberichten te bekijken of op iemands account te posten, maar er is geen teken dat ze dat deden.

"We weten nog niet of een van de accounts daadwerkelijk is misbruikt, ', aldus Zuckerberg.

De hack is de laatste tegenslag voor Facebook tijdens een tumultueus jaar van beveiligingsproblemen en privacykwesties. Tot dusver, Hoewel, geen van deze problemen heeft het vertrouwen van de 2 miljard wereldwijde gebruikers van het bedrijf aanzienlijk geschaad.

Deze nieuwste hack had betrekking op bugs in de functie "Bekijken als" van Facebook, waarmee mensen kunnen zien hoe hun profielen voor anderen verschijnen. De aanvallers gebruikten die kwetsbaarheid om de digitale sleutels te stelen, bekend als "toegangstokens, " van de accounts van mensen naar wiens profielen werd gezocht met behulp van de "Bekijken als"-functie. De aanval ging vervolgens van de Facebook-vriend van de ene gebruiker naar de andere. Het bezit van die tokens zou aanvallers in staat stellen die accounts te beheren.

Een van de bugs was meer dan een jaar oud en beïnvloedde de interactie tussen de functie 'Bekijken als' en de video-uploadfunctie van Facebook voor het plaatsen van 'gelukkige verjaardag'-berichten. zei Guy Rosen, Facebook's vice-president van productbeheer. Maar pas half september merkte Facebook een toename van ongebruikelijke activiteiten op, en pas deze week dat het van de aanval hoorde, zei Rosen.

"We hebben nog niet kunnen vaststellen of er sprake was van specifieke targeting" van bepaalde accounts, Rosen zei in een gesprek met verslaggevers. "Het lijkt breed. En we weten nog niet wie er achter deze aanvallen zat en waar ze zouden kunnen zijn."

Er zijn geen wachtwoorden of creditcardgegevens gestolen, zei Rosen. Hij zei dat het bedrijf de FBI en toezichthouders in de Verenigde Staten en Europa heeft gewaarschuwd.

Jake Williams, een beveiligingsexpert bij Rendition Infosec, zei dat hij bezorgd is dat de hack toepassingen van derden zou kunnen hebben beïnvloed.

Williams merkte op dat gebruikers met de functie "Facebook Login" van het bedrijf in andere apps en websites kunnen inloggen met hun Facebook-inloggegevens. "Deze toegangstokens die zijn gestolen, worden weergegeven wanneer een gebruiker is ingelogd op Facebook en dat kan voldoende zijn om toegang te krijgen tot het account van een gebruiker op een site van een derde partij. " hij zei.

Facebook bevestigde eind vrijdag dat apps van derden, evenals zijn eigen Instagram-app, zou kunnen zijn aangetast.

"De kwetsbaarheid zat op Facebook, maar met deze toegangstokens kon iemand de rekening gebruiken alsof hij zelf de rekeninghouder was, ' zei Rosen.

Begin dit jaar brak het nieuws uit dat een data-analysebedrijf ooit in dienst was van de Trump-campagne, Cambridge Analytica, op onrechtmatige wijze toegang hadden gekregen tot persoonsgegevens van miljoenen gebruikersprofielen. Toen ontdekte een congresonderzoek dat agenten uit Rusland en andere landen al sinds ten minste 2016 valse politieke advertenties plaatsen. Zuckerberg verscheen op een hoorzitting van het congres over de privacypraktijken van Facebook.

De Facebook-bug doet denken aan een veel grotere aanval op Yahoo waarbij aanvallers 3 miljard accounts hebben gehackt, genoeg voor de helft van de hele wereldbevolking. In het geval van Yahoo, informatie gestolen inclusief namen, e-mailadressen, telefoonnummers, geboortedata en veiligheidsvragen en antwoorden. Het maakte deel uit van een reeks Yahoo-hacks gedurende meerdere jaren.

Amerikaanse aanklagers gaven later Russische agenten de schuld voor het gebruik van de informatie die ze van Yahoo hadden gestolen om Russische journalisten te bespioneren. Amerikaanse en Russische overheidsfunctionarissen en werknemers van financiële diensten en andere particuliere bedrijven.

In het geval van Facebook het is misschien te vroeg om te weten hoe geavanceerd de aanvallers waren en of ze verbonden waren met een natiestaat, zei Thomas Rid, een professor aan de Johns Hopkins University. Rid zei dat het ook spammers of criminelen kunnen zijn.

"Niets dat we hier hebben gezien, is zo geavanceerd dat het een statelijke actor vereist, Rid zei. "Vijftig miljoen willekeurige Facebook-accounts zijn voor geen enkele inlichtingendienst interessant."

Ed Mierzwinski, de senior directeur van de consumentenorganisatie U.S. PIRG, zei dat de inbreuk "zeer verontrustend" was.

"Het is nog een waarschuwing dat het Congres geen nationale wetgeving op het gebied van gegevensbeveiliging of gegevensinbreuk mag aannemen die de huidige privacywetten van de staat verzwakt, vooruitloopt op het recht van staten om nieuwe wetten aan te nemen die hun consumenten beter beschermen, of hun advocaten het algemene recht ontzegt om schendingen van deze wetten te onderzoeken of deze te handhaven, " zei hij in een verklaring.

Wedbush-analist Michael Pachter zei:"Het belangrijkste punt is dat we van hen ontdekten, " wat Facebook betekent, in tegenstelling tot een derde partij.

"Als gebruiker Ik wil dat Facebook mijn gegevens proactief beschermt en me laat weten wanneer deze zijn gecompromitteerd, " hij zei.

© 2018 The Associated Press. Alle rechten voorbehouden.