Ett år før persondata om 28 millioner mennesker lakk fra Facebooks servere i 2018, fikk selskapet flere varsler fra både ansatte og utenforstående om at et massivt sikkerhetshull var avdekket. Allikevel ble ikke hullet stengt før etter ni måneder. Det skriver The Telegraph.
Datalekkasjen sørget for at navn, telefonnummer og epostadresser lakk for 29 millioner mennesker.
«Mer intime detaljer» skal ha bli lekket om rundt halvparten av disse igjen.
Mye data
For de 14 millioner brukerne skal hackerne fått tilgang til hjemby, fødselsdag, jobb, utdanning, de siste stedene de sjekket inn, de siste søkene, og hva slags enhet de brukte for få tilgang til nettstedet.
Som et forebyggende tiltak tilbakestilte selskapet også påloggingen til 40 millioner brukere som kunne ha vært i faresonen for sikkerhetsbristen.
Staten håver inn på tek-aksjer
Rettsdokumentene The Telegraph har fått tilgang til viser at flere høytstående ansatte skal ha hatt skyldfølelse etter angrepet fordi de mente det kunne vært forhindret.
Varslet i 2017
Allerede i desember 2017 skal Facebooks egne sikkerhetsfolk ha uttrykt bekymring rundt tilgangskontrollen til selskapet. Disse bekymringene skal ledelsen ha ignorert.
Sikkerhetsutfordringene skal ha oppstått som en følge av en endring i videoopplastingsfunksjonalitet. Det skulle få konsekvenser for «view as»-funksjonen i koden.
_logo.svg.png){kind=logo}
Ved å utnytte sårbarheten fikk hackerne tak i de digitale «nøklene» som sørger for at man er kontinuerlig pålogget på nettstedet.
Facebook nekter for at de ikke har tatt varslene fra egne ansatte seriøst, og sier til The Telegraph at deres ingeniører begynte å jobbe med en løsning på problemet før sikkerhetsbristen var et faktum.
Ikke sett på som alvorlig
Men tilgangskontrollutfordringene skal ikke ha blitt ansett som alvorlig.
Selskapet mener datalekkasjen ikke isolert sett kan tilskrives problemene med de digitale nøklene, men at angriperne utnyttet flere kompliserte interaksjoner mellom ulike deler av koden.
Spionerte på Snapchats krypterte trafikk i flere år
Rettsdokumentene nådde offentligheten etter et gruppesøksmål ble løst med et forlik i januar i år.
Facebook innrømmer ingen skyld for lekkasjen, og slipper å betale erstatning, men har forpliktet seg til å ta alle sakskostnader for saksøkerne.
Imidlertid må selskapet garantere at sikkerhetsutfordringene er fikset. Facebook må også utarbeide en plan for hvordan lignende angrep skal avverges i fremtiden.
Disse planene skal gjennomgås av utenforstående aktører hvert år, i fem år fremover, skriver The Telegraph.
