Criminelen bieden gegevens van Facebook-gebruikers te koop aan op internetfora. Uit een sample van 81.000 profielen bleek dat onder andere privéberichten beschikbaar zijn. De verkopers claimen dat ze data van in totaal 120 miljoen accounts in handen hebben.
Het ging vooral om gegevens van Oekraïense en Russische gebruikers, en in mindere mate om die van accounts uit het VK, de VS, Brazilië en andere landen. De BBC Russia Service onderzocht het aanbod, dat in september aan het licht kwam, in samenwerking met beveiligingsbureau Digital Shadows.
Het bestand dat de criminelen vrijgaven om hun claim te staven, bleek privéberichten van meer dan 81.000 accounts te bevatten. Van nog eens 176.000 accounts waren onder andere e-mailadressen en telefoonnummers aanwezig. Deze laatste gegevens zijn volgens Digital Shadows simpelweg te scrapen van profielen die gegevens niet afschermen.
Van de overige gegevens is het waarschijnlijk dat ze via kwaadaardige browserextensies verkregen zijn. Facebook meldt de BBC dat het niet met een beveiligingsincident kampt, maar wel weet heeft van een browserextensie die gegevens doorsluist. Dat maakt de claim van de criminelen dat ze een database van 120 miljoen Facebookprofielen hebben, onwaarschijnlijk volgens Digital Shadows. Een datalek van die omvang zou Facebook opgevallen moeten zijn.
Facebook werd onlangs getroffen door een datalek waarbij criminelen toegang kregen tot miljoenen access tokens. Daarnaast raakte het eerder dit jaar in opspraak nadat Cambridge Analytica accountgegevens wist door te sluizen voor verkiezingsdoeleinden. De verkoper meldde aan de BBC dat zijn aanbod hier niets mee van doen heeft.