UPPDATERAD 19:30 EDT Sept. 28 med ytterligare information om hur intrånget hände och varför konton som inte är Facebook kan påverkas också.

UPPDATERAD 13:00. EDT okt. 12 med Facebook som reviderar sin uppskattning av antalet direkt berörda konton till 30 miljoner.

Facebook sa idag (Sept. 28) att nästan 50 miljoner konton hade äventyrats av okända angripare, och att mer än 90 miljoner användare med våld loggades ut från sina konton i morse som en säkerhetsåtgärd. Åtminstone behöver berörda användare inte ändra sina lösenord för tillfället.

Upphovsman: Shutterstock
(Bildkredit: Shutterstock)

Angriparna missbrukade en brist i Facebooks "Visa som" -funktion för att stjäla åtkomsttoken för de 50 miljoner kontona, vilket skulle ha gett dem långvarig tillfällig åtkomst till kontona.

Det är ännu inte känt om några Facebook-konton togs över, om några legitima användare var utestängda av sina egna konton, om någon personlig information stals, eller till och med vem angriparna var eller vad de ville ha.

Ändå, precis som en försiktighetsåtgärd - och bara om du kommer ihåg ditt Facebook-lösenord - kan det vara bäst att logga ut från ditt Facebook-konto på alla enheter och sedan logga in igen. Du kan kontrollera vilka enheter du är inloggad på Facebook

här.

MER: Hur man stoppar Facebook från att dela dina data

Trots Facebooks väl omtalade sekretessfrågor har det sociala nätverkets interna säkerhet varit ganska bra, och det har aldrig haft ett dataintrång av denna storlek eller typ tidigare.

"Vi tar det riktigt på allvar", säger Facebook-vd Mark Zuckerberg till journalister i ett konferenssamtal, enligt The New York Times. "Jag är glad att vi hittade det här. Men det är definitivt en fråga att detta hände i första hand. " UPPDATERING: Ett fullständigt transkript av konferenssamtalet är här.

Hur Facebook-attacken fungerade

Facebook vice ordförande för produktteknik Guy Rosen gav ytterligare information i ett Facebook-blogginlägg i dag.

"På eftermiddagen tisdagen den 25 september upptäckte vårt ingenjörsteam en säkerhetsfråga som berör nästan 50 miljoner konton", skrev Rosen. "Angripare utnyttjade en sårbarhet i Facebooks kod som påverkade" Visa som ", en funktion som låter människor se hur deras egen profil ser ut för någon annan."

"Detta gjorde det möjligt för dem att stjäla åtkomsttoken på Facebook som de sedan kunde använda för att ta över människors konton", tillade han. "Åtkomsttoken motsvarar digitala nycklar som håller människor inloggade på Facebook så att de inte behöver ange lösenordet varje gång de använder appen."

Åtkomsttoken, även känd som sessionstoken, åtkomstkakor eller sessionskakor, är bitar av kod som håller dig inloggad på Facebook på din dator eller smartphone, även efter att du startar om enheten. Token är inte permanenta, men kommer att pågå i månader eller till och med år eftersom företag har funnit att människor i allmänhet vill vara inloggade på ofta använda onlinetjänster så länge som möjligt.

Rosen sa att säkerhetshålet som tillät attacken hade åtgärdats och att brottsbekämpning hade meddelats.

Han sa att åtkomsttoken för de nästan 50 miljoner konton som man vet påverkas återställdes. Så var de med ytterligare 40 miljoner konton som "varit föremål för en" Visa som "-sökning under det senaste året."

Rosen sa att om fler konton visar sig påverkas kommer deras åtkomsttoken också att återställas. Han sa också att alla som hade problem med att logga in på Facebook bör besöka Facebooks online Hjälpcenter.

Ägare av berörda konton måste logga in på Facebook på varje enhet som de normalt använder få tillgång till tjänsten, men åtminstone för tillfället behöver de inte ändra sina lösenord, Rosen sa.

Åtkomsttoken kopplas vanligtvis inte direkt till lösenord och tilldelas en användarsession först efter att kontoinnehavaren har loggat in.

"Denna attack utnyttjade den komplexa interaktionen mellan flera problem i vår kod", skrev Rosen. "Det härrörde från en förändring som vi gjorde i vår videoöverföringsfunktion i juli 2017, vilket påverkade" Visa som. " Angriparna behövde inte bara för att hitta denna sårbarhet och använda den för att få en åtkomsttoken, var de tvungna att svänga från det kontot till andra för att stjäla fler tokens. "

Så vem attackerade Facebook?

Angreppens storlek antydde att åtminstone en del av den kan ha automatiserats. Det skulle vara ganska svårt för människor att manuellt kompromissa med 50 miljoner konton på kort tid.

"Från Facebooks beskrivning ser det ut som att angriparna skapade någon form av sessionskakmask", redigerar Virus Bulletin Martijn Grooten skrev på Twitter. "Jag kan inte föreställa mig att du kan köra detta på ett tillförlitligt sätt om du inte äger (eller kan hyra) ett stort botnet som du kan använda en proxy för att göra förfrågningarna från."

"Det faktum att 50 miljoner konton togs över och att vi, såvitt jag är medveten om, inte har sett någon massiv skräppost kampanjer antyder att det kan ha varit en informationsinsamlingskampanj av en nationalstat eller liknande aktör, "Grooten Lagt till. "Det är naturligtvis alldeles för tidigt att vara säker."

Lesley Carhart, en hotjägare på säkerhetsföretaget Dragos, varnade för att tillskriva attacken till en nationalstat eftersom sådan tillskrivning ofta används av företag för att undvika ansvar.

"Antagandet att Facebook-kompromissen var nationellt stödd (utan några bevis) spelar bara för Facebooks potentiella försvar och hjälper dem att avfärda ansvaret," Carhart twittrade. "" Nationstatens cyberattack "-försvar med populära missuppfattningar är en riktig sak."

Facebooks annus horribilis

Detta har varit ett fruktansvärt år för Facebook, inklusive Cambridge Analytica datadelningsskandalen i mars där Zuckerberg och andra ledande Facebook-chefer svarade på heta frågor i den amerikanska kongressen och Storbritanniens parlament.

Företaget har också utsatts för värme för att låta sin plattform vara missbrukas av ryska troll försöker påverka valet i västländerna, inklusive presidentvalet 2016 i USA, och för påstått gynna vänster snarare än högerdiskussioner på dess sidor.

Under det senaste året har grundarna av WhatsApp, som köptes av Facebook 2014, lämnat företaget. Den här veckan meddelade grundarna av Instagram, som köptes av Facebook 2012, sina omedelbara avgångar. Facebooks chef för informationssäkerhet, Alex Stamos, lämnade den senaste sommaren, och hans uppgifter och team överfördes till andra avdelningar.

Igår (Sept. 27) anklagades företaget för att ha använt mobiltelefonnummer som användarna tillhandahöll för att möjliggöra tvåfaktorautentisering säkerhetsfunktion, till rikta annonser till enskilda smartphones, och att använda medlemmarnas telefonnummer från andra medlemmars kontaktlistor för att göra detsamma.

UPPDATERING Sept. 28: I det konferenssamtalet med reportrar klargjorde Rosen att sårbarheten uppstod på grund av att angriparna kunde komma åt videouppladdaren - speciellt en som är utformad för att önska människor en grattis på födelsedagen i videoform - medan du använder "Visa som" fungera.

"När videouppladdaren dök upp som en del av Visa som - vilket det inte skulle göra om det inte var för det första felet - och det genererade en åtkomsttoken som är - igen, skulle inte göra det, förutom det andra felet - det genererade åtkomsttoken, inte för dig som tittare, utan för användaren som du letar efter upp."

"Dessa angripare behövde för att kunna köra den här attacken inte bara för att hitta denna sårbarhet, utan de behövde få en åtkomsttoken och sedan pivotera åtkomsttoken till andra konton och sedan leta upp andra användare för att få ytterligare åtkomsttoken, "Rosen Lagt till.

I en separat Twitter-dialog med Slate-reporter Will Oremus, den som driver den officiella Facebook Twitter konto medgav att Instagram- och Oculus-konton kan påverkas om de var länkade till en Facebook konto.

"Sårbarheten fanns på FB men om du har ett FB-konto som har påverkats som är länkat till ett Oculus- eller IG-konto måste du ta bort länken och länka dem igen," Facebook Twitter-konto sa. "Inga WhatsApp-användare har påverkats."

Det var inte omedelbart klart om tredjepartskonton som erbjöd en "inloggning med Facebook" -funktionen påverkades, men Oremus antydde att de kan vara.

UPPDATERING okt. 12: I ett nytt uttalande, Sa Facebook antalet berörda konton var faktiskt närmare 30 miljoner. Av den gruppen hade 15 miljoner namn, telefonnummer och / eller e-postadresser som angriparna hade åtkomst till.

Ytterligare 14 miljoner konton komprometterade ytterligare data - "användarnamn, kön, språk / språk, förhållandestatus, religion, hemstad, självrapporterad aktuell stad, födelsedatum, enhetstyper som används för att komma åt Facebook, utbildning, arbete, de senaste 10 platserna de checkade in eller taggades på, webbplats, personer eller sidor de följer och de 15 senaste sökningar. "

De återstående en miljon kontona hade ingen åtkomst till data.

"Vi samarbetar med FBI, som aktivt undersöker och bad oss ​​att inte diskutera vem som kan stå bakom denna attack", sa Facebook.

Bästa tjänster för identitetsskydd

Bästa övergripande

IdentityForce UltraSecure + kredit

Förstår. IdentityForce UltraSecure + Credit är den bästa övergripande tjänsten för både kreditövervakning och identitetsskydd. Det skyddar också ditt konto med tvåfaktorautentisering.

Bästa dataövervakning

LifeLock Ultimate Plus

Det är värt det. Skaffa LifeLock Ultimate Plus om du är mycket orolig för att din identitet ska bli stulen och du också behöver antivirusprogram. Men du kan få bättre kreditövervakning för mindre med IdentityForce UltraSecure + Credit.

Bästa verktygen

Identity Guard Platinum

Bra, men inte bäst. Identity Guard är inte dåligt, men för ungefär samma pris erbjuder IdentityForce UltraSecure + Credit mer omfattande övervakning av personuppgifter och kreditfiler.