Социальная сеть Facebook заявила об обнаружении уязвимости, с помощью которой злоумышленники могли украсть порядка 50 миллионов учётных записей социальной сети.

Уязвимость была обнаружена в функции «Посмотреть как...» во второй половине дня 25 сентября. «Посмотреть как...» позволяет пользователям взглянуть на свою страницу глазами другого пользователя.

Злоумышленники же могли с её помощью получить маркеры доступа, посредством которых происходит аутентификация в учётной записи Facebook без необходимости вводить пароль. Они используются, например, в приложениях для избежания повторной аутентификации.

После обнаружения уязвимость была устранена. Попутно Facebook уведомила о случившемся правоохранительные органы, закрыла функцию «Посмотреть как...» и ввела принудительную аутентификацию для 90 миллионов учётных записей, где 40 миллионов — это дополнительные аккаунты, на которых использовалась функция «Посмотреть как...» в течение прошлого года.

Facebook акцентирует внимание, что расследование случившегося только началось. Ещё неизвестно, были ли 90 миллионов учётных записей действительно скомпрометированы.