英BBCは11月2日（現地時間）、少なくとも8万1000件のFacebookアカウントの個人データが盗まれ、売りに出されたと報じた。米FacebookはBBCに対し、同社のサーバーが攻撃されたことはなく、問題はWebブラウザの拡張機能にあると説明した。

ことの始まりは9月。英語圏のネットフォーラムにFBSalerと名乗るユーザーが「1億2000万人分のFacebookユーザーの情報を1件10セントで販売する」と投稿した。

BBCの依頼で英セキュリティ企業のDigital Shadowsが調査した結果、FBSalerがサンプルとして投稿した8万1000件以上のプロフィールデータにはプライベートなメッセージの内容も含まれていた。幾つかのデータについてユーザー本人に確認したところ、本物だったという。（これらのサンプルは既に削除されている。）

影響を受けたアカウントのほとんどはウクライナとロシアのもので、英、米、ブラジル、その他の地域のものもある。

Facebookのプロダクトマネジメント担当副社長、ガイ・ローゼン氏はBBCに対し、「Webブラウザメーカーに連絡し、（この件に関連する）悪意ある拡張機能が各拡張機能ストアからダウンロードできなくなったことを確認した」と語った。

Facebookによると、データ窃盗はユーザーのアクティビティを密かに追跡して転送する悪意ある拡張機能を使って行われたという。同社は具体的な拡張機能名は明らかにしなかったが、データ漏洩はFacebookの欠陥によるものではないと語った。

BBCがアカウントデータ販売者に、これらのアカウントはCambridge Analyticaスキャンダルあるいは9月に発覚した大規模データ流出と共通するものかどうか尋ねたところ、「ジョン・スミス」と名乗る者が、いずれとも無関係だと返答した。ロシア政府とも無関係だという返事だった。

いずれにしても、Webブラウザに拡張機能を追加する際は提供元が信頼できるかどうか慎重に調べ、無駄な拡張機能は極力使わない方がよさそうだ。