Facebook lekt honderden miljoenen telefoonnummers van gebruikers [Update]

Update 6 september: Volgens beveiligingsonderzoeker Elliott Murray staat een kopie van de database met telefoonnummers van Facebook-gebruikers nog steeds online. Hoewel Facebook zelf haar eigen database verwijderd heeft, zwerft een kopie nog gewoon rond. Om te controleren of het over dezelfde database gaat, heeft de onderzoeker telefoonnummers van een aantal Facebook-gebruikers kunnen koppelen aan de juiste namen uit de database.

Murray zegt er bijna zeker van te zijn dat het om dezelfde database gaat. “Het komt niet vaak voor dat een database van deze omvang online staat”, zo vult hij aan.

CNET nam contact op met een telefoonnummer uit de database dat gekoppeld is aan de mede-oprichter van Facebook Chris Hughes. Het nummer blijkt niet meer van hem te zijn, want iemand anders stuurde vanuit dit nummer een berichtje. Zij gaf aan dit nummer eerder dit jaar pas gekregen te hebben en dat ze sinds die tijd vaker berichten en telefoontjes kreeg van mensen die op zoek waren naar Chris Hughes. Ook het nummer van Mark Zuckerberg stond in de database. CNET belde het nummer, maar het ging over naar een niet ingestelde voicemail.

Het gevaar van dergelijke lekken is dat mensen die in de database staan, slachtoffer kunnen worden van identiteitsfraude. Door de combinatie van de juiste namen en het bijbehorende telefoonnummer, kunnen scammers en andere kwaadwillenden hier misbruik van maken.

Oorspronkelijk bericht:
Opnieuw is Facebook de klos vanwege een beveiligingslek. Nadat Facebook eerder al wachtwoorden in leesbaar formaat bewaarde, complete adresboeken uploadde en gebruikers kon afluisteren via een speciale app, zijn er nu honderden miljoenen telefoonnummers op straat komen te liggen. Het gaat om een server die niet met een wachtwoord beschermd was en daardoor door iedereen toegankelijk was, zo ontdekte TechCrunch.

Facebook lekt honderden miljoenen telefoonnummers

Op de server waren het Facebook ID en het telefoonnummer dat aan de account gekoppeld waren, zichtbaar. De combinatie van dit Facebook ID en het telefoonnummer kan gebruikt worden om iemands gebruikersnaam te achterhalen. Het gaat in ieder geval om 133 miljoen gegevens van Amerikaanse gebruikers, 18 miljoen gebruikers uit het Verenigd Koninkrijk en 50 miljoen uit Vietnam. Of er ook gegevens van Nederlandse gebruikers gelekt zijn is niet bekend, maar dat is gezien het grote aantal zeker niet ondenkbaar.

Facebook blokkeerde een jaar geleden de toegang tot de telefoonnummers. Het gaat dus om een oudere database. Een woordvoerder zegt dat de gegevens dus ruim een jaar geleden gekopieerd zijn, omdat de database daarna offline gehaald is. Facebook zegt dat ze geen bewijs hebben gevonden dat kwaadwillenden er misbruik van gemaakt hebben.

TechCrunch vergeleek enkele gegevens uit de database met bekende nummers en die bleken te kloppen. Naast de Facebook ID en het telefoonnummer, waren bij sommige accounts ook het gebruikersnaam, geslacht en land zichtbaar. Je telefoonnummer gebruik je bij Facebook onder andere voor tweestapsverificatie, zodat je account beter beveiligd is. Dit is niet verplicht, want je kan ook Facebook tweestapsverificatie gebruiken zonder telefoonnummer.