A rede social tinha afirmado originalmente que até 50 milhões de contas tinham sido afetadas pelo ciberataque que explorou um trio de falhas de software na funcionalidade "Ver como" — permitia aos utilizadores ver o seu perfil como aparece para as outras pessoas.

A falha terá permitido aos atacantes aceder aos acessos token — chaves digitais que permitem que os utilizadores se mantenham ligados sem terem de introduzir sempre as palavras-chave — para obter informação e, como medida de precaução, a funcionalidade foi removida em todas as contas do Facebook.

A empresa veio agora revelar que o ataque decorreu entre 14 e 27 de setembro e qual foi o impacto do mesmo, através de um comunicado assinado por vice-presidente de gerenciamento de produto do Facebook, Guy Rosen.

Segundo Rosen, os 'hackers' usaram contas que já tinham na sua posse, utilizando uma técnica automática para "se deslocar" para as contas dos seus "amigos", roubando os acessos token destes — daí passava para os "amigos" desses "amigos" em forma de corrente. Desta forma, conseguiram afetar 400.000 contas, e com a técnica conseguiram carregar as páginas de cada um desses utilizadores afetados e aceder a todos os dados que a funcionalidade "Ver como" permite visualizar.

Isto inclui dados como os posts nas suas "timelines", as suas listas de amigos e os grupos aonde pertencem, mas apesar de ser possível ver com quem cada uma das contas conversou no Messenger do Facebook, os conteúdos das conversas não estiveram disponíveis. Contudo, se uma das pessoas era administrador de uma página e esta tinha recebido uma mensagem, esta esteve disponível aos atacantes.

A partir daqui, os atacantes usaram parte destas 400.000 contas para atacar as listas de amigos de cada uma, conseguindo roubar tokens de acesso a 30 milhões de pessoas. Destas, 15 milhões foram sujeitas ao roubou de dois conjuntos de informações: o nome e os contactos (o e-mail, o número de telefone ou os dois, dependendo das configurações de cada utilizador).

A 14 milhões, não só estes dados foram captados, como também outros detalhes que tinham no perfil: o nome, género, linguagem, estado de relação, religião, cidade natal, atual cidade de residência, data de nascimento, dispositivos utilizados para aceder ao Facebook, educação, emprego, os últimos 10 sítios onde se foi marcado, website, pessoas ou páginas que se siga e as 15 pesquisas mais recentes.

Apenas 1 milhão de contas foram invadidas sem serem sujeitas a roubo de informação.

A empresa informa que o ataque não afetou as passwords dos utilizadores, nem dados de pagamento ou informações de cartões de crédito, e não abrangeu plataformas e aplicações da sua responsabilidade como o Messenger, Messenger Kids, Instagram e WhatsApp.

O Facebook anunciou também que está a colaborar numa investigação feita pelo FBI, que pediu à empresa para "não revelar quem poderão ser os responsáveis pelo ataque".

No entanto, a rede social tem uma página de apoio onde os utilizadores podem verificar se as suas contas foram afetadas e de que forma a sua informação foi exposta.

A confiança dos utilizadores tem sido bastante abalada nos últimos meses devido a vários escândalos, entre os quais a revelação da partilha de dados pessoais para fins políticos à revelia dos utilizadores ou ainda a difusão de mensagens destinadas a influenciar secretamente as eleições em diversos países, incluindo os Estados Unidos e a França.