Facebook heeft meer informatie over de recente aanval op het platform bekendgemaakt en claimt dat er bij 30 miljoen mensen 'access tokens' zijn gestolen. In eerste instantie ging het bedrijf ervan uit dat het om 50 miljoen mensen ging.
In een nieuwe blogpost schrijft Facebook dat de aanvallers bij 15 miljoen mensen via de gestolen tokens toegang hadden tot hun naam en contactgegevens, waaronder telefoonnummers en e-mailadressen. Bij een tweede categorie, bestaande uit 14 miljoen mensen, was er toegang tot meer informatie. Zo konden de aanvallers bij dezelfde gegevens als bij de eerste categorie, maar ook bij profielgegevens. Op die manier was informatie beschikbaar als geslacht, taal, relatiestatus, geloofsovertuiging, woonplaats, opleiding, werk en de 15 meest recente zoekopdrachten. Bij een laatste categorie, bestaande uit 1 miljoen mensen, was er geen toegang tot informatie.
Facebook zegt dat het de getroffen personen in de komende dagen zal informeren. Gebruikers kunnen zelf ook controleren of hun gegevens zijn ingezien, dat kan via een hulppagina. Facebook stelt dat zijn andere diensten niet door de aanval zijn getroffen, zoals Messenger, Instagram, WhatsApp en Oculus. Eerder had het bedrijf al bekendgemaakt dat apps van derden die gebruikmaken van Facebook Login ook niet waren getroffen.
In zijn huidige bericht schrijft het bedrijf dat het op 14 september 'verdachte activiteit' had vastgesteld en dat het er elf dagen later achterkwam dat het om een aanval ging. Het misbruikte lek wist het bedrijf binnen twee dagen te dichten. In een eerder gepubliceerd bericht legde Facebook uit dat de aanvallers gebruikmaakten van een combinatie van drie bugs. Het bedrijf had tegen de Ierse privacywaakhond gezegd dat het bij maximaal tien procent van de getroffen gebruikers om EU-burgers ging. Onder de oude aantallen was dit vijf miljoen, door de huidige update is dit aantal mogelijk lager.