Varatoimitusjohtaja Guy Rosen sanoo yhtiön verkkosivuilla, että hyökkääjät käyttivät hyväkseen haavoittuvuutta “Näytä henkilönä” -toiminnossa (View As), jossa käyttäjä voi tarkastella omaa profiiliaan sellaisena, jolta se näyttäisi toiselle käyttäjälle.
Näin hankittujen pääsyoikeuksien avulla murtautujat saattoivat vallata toisten ihmisten tilejä.

Rosen sanoi Facebookin tehneen asiasta rikosilmoituksen. Turvallisuusongelma havaittiin tiistaina.

Tilien kaappaamisen estämiseksi Facebook poistaa väliaikaisesti “Näytä henkilönä” -toiminnon käytöstä. Pääsyoikeudet on nollattu niiltä tileiltä, joiden tiedetään olleen kaappausvaarassa. Tämä koskee kaikkiaan noin 90:tä miljoonaa tiliä. Näiden käyttäjät joutuvat kirjautumaan takaisin Facebookin ja niihin sovelluksiin, joihin he ovat kirjautuneet Facebookin kautta.

Tutkimukset ovat vasta alussa, joten Rosenin mukaan vielä ei tiedetä, onko tilejä käytetty väärin tai tietoja varastettu.

– Emme myöskään tiedä, ketkä olivat tämän hyökkäyksen takana tai mistä he toimivat, Rosen sanoi.

Hän lupasi lisää tietoa siinä vaiheessa kun sitä saadaan.

Rosenin mukaan käyttäjien ei tarvitse vaihtaa salasanojaan. Facebookin turvallisuusasetuksissa on toiminto, jonka avulla käyttäjä voi kerralla kirjautua ulos kaikista palveluista, jonne hän on kirjautunut Facebookin kautta.

Facebookilla oli tämän vuoden toisen neljänneksen lopulla yhteensä reilut 2,2 miljardia aktiivista käyttäjää. Aktiivisiksi käyttäjiksi lasketaan ne, jotka ovat kirjautuneet palveluun ainakin kerran 30 päivän sisällä.