Problemem zainteresował się rosyjski odział BBC, którego dziennikarze, udając potencjalnych nabywców, skontaktowali się z hakerami. Jedna z przedstawionych im ofert zawierała zapisy prywatnych rozmów 81 tys. użytkowników Messengera. Przestępcy jedno konto wycenili na 10 centów.
Po wymianie korespondencji z przestępcami przedstawiciele BBC nabrali pewności, że hakerzy w żaden sposób nie są powiązani z rosyjskim rządem oraz nie mają nic wspólnego z wyciekiem danych, za którym stała Cambridge Analytica.
„Adres IP strony, na której pojawiło się ogłoszenie o sprzedaży kont powiązano z LokiBot. Jest to wirus typu trojan, który zbiera informacje o właścicielu zainfekowanego komputera. Stale monitoruje aktywność ofiary i sprawdza, jakie strony odwiedza oraz jakie klawisze naciska. Tą metodą pozyskuje loginy i hasła do usług online, które następnie przesyła na kontrolowany przez przestępców serwer” komentuje Dariusz Woźniak, inżynier techniczny Bitdefender z firmy Marken.
W oficjalnym komunikacie przedstawiciele społecznościowego giganta poinformowali, że infrastruktura IT Facebooka nie została naruszona. Winni są niefrasobliwi użytkownicy, bezmyślnie uruchamiający w przeglądarce internetowej aplikacje nieznanego pochodzenia (np. gry), za pośrednictwem których przestępcy przemycają na komputer ofiary trojana LokiBot. Zwracają również uwagę, że trojan poza kradzieżą poświadczeń do Facebooka, mógł też kraść hasła i loginy do innych usług online.
„Nawiązaliśmy kontakt z twórcami przeglądarek internetowych, upewniając się, że nie ma już możliwości pobierania – z posiadanych przez nie sklepów – podejrzanych wtyczek i rozszerzeń ” – potwierdził jeden z menadżerów Facebooka. Strona, na której pojawiło się ogłoszenie o sprzedaży kont również została zamknięta.