Facebook geeft opheldering over datalek 500 miljoen gebruikers

Nooit gemeld aan gebruikers
Op internet zijn privégegevens van ruim 500 miljoen Facebookgebruikers gelekt Ook de data van meer dan 5,4 miljoen Nederlanders en 3,1 miljoen Belgen staan ertussen. Zelf vindt Facebook de ophef wat overdreven.
Gonny van der Zwaag | iCulture.nl -

Update 7 april 2021: Facebook heeft aangegeven dat de gegevens afkomstig zijn uit een gigantisch datalek uit 2019, dat nooit is gemeld. Dat zegt product management director Mike Clark in een blogposting. Volgens Clark is de informatie door scraping in verkeerde handen gekomen en niet door een hack. Facebook is er zeker van dat het probleem is opgelost. De kwaadwillenden zouden een functie om Facebook-contacten te importeren hebben misbruikt. Deze was vóór september 2019 beschikbaar op de site. Het was bedoeld om makkelijk vrienden te kunnen vinden.


Facebook heeft tegen de media gezegd dat de informatie door scraping is verzameld, maar Wired onderzocht de zaak verder en ontdekte ook een link met een Instagram-lek en een daarvan losstaand Facebook-lek uit midden 2018. Het bedrijf heeft gebruikers niet geïnformeerd over het voorval.

In de blogposting lijkt Facebook het incident snel achter zich te willen laten en benadrukt hoeveel moeite er wordt gestoken in toekomstige veiligheidsfuncties. Ook beloven ze fanatiek te jagen op mensen die de tools voor eigen gewin gebruiken.

Hieronder volgt ons oorspronkelijke artikel van 4 april 2021.

500 miljoen Facebookgegevens

Het zou gaan om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie en geboortedatum. In sommige gevallen zijn ook e-mailadres, relatiestatus en andere informatie af te lezen. Dit meldt beveiligingsonderzoeker Alon Gal van cybercrime intelligence-bedrijf Hudson Rock op Twitter. Gal vreest dat kwaadwillenden de data zullen gebruiken voor social engineering, hacking, marketing en scams. Maar volgens Facebook is er niet zoveel aan de hand: het zou gaan om oude gegevens die in 2019 zijn gestolen.

Toch zal voor veel mensen geboortedatum, geslacht, volledige naam en e-mailadres nog steeds hetzelfde zijn in 2021. Kwaadwillenden kunnen er nog steeds veel schade mee aanrichten.

https://twitter.com/UnderTheBreach/status/1378314424239460352

Facebook heeft niet laten weten welke kwetsbaarheid in 2019 tot het uitlekken van zoveel gebruikersgegevens leidde. Mogelijk gaat het om een functie waardoor het mogelijk was meerdere telefoonnummers in te voeren. Vervolgens kon je kijken welk nummer bij een specifieke gebruiker hoorde.

Wil je weten of je getroffen bent? De dataset is inmiddels toegevoegd aan de bekende site haveibeenpwned.com.

Facebook heeft de Toegang tot je informatie flink aangepast.

De gestolen gegevens werden een paar maanden geleden nog tegen betaling aangeboden. Nu zijn ze gratis beschikbaar gesteld op een forum. Het gaat om inwoners van tenminste 100 landen, waaronder ook de Benelux. De website Business Insider kreeg een fragment van de data in handen en vergeleek die met werkelijke data. Via de wachtwoordreset-functie van Facebook was het mogelijk om telefoonnummers te controleren, omdat daarvan een klein deel wordt onthuld.

Hoe weet je of jou data gelekt is?

Via de dienst ‘Have I Been Pwned?‘ kun je zien of jouw e-mailadres betrokken is bij dit Facebook-lek. De beheerder van de site, Troy Hunt, is een bekende en gerespecteerde beveiligingsspecialist. Hij heeft de e-mailadressen die zijn gelekt al toegevoegd aan de website, zodat je kunt bekijken of jouw Facebook-gegevens erin staan. Je vult je e-mailadres in en de website laat zien bij welke incidenten jouw gegevens betrokken zijn geweest.

Wat als je telefoonnummer is gelekt?

Toch is de methode van ‘Have I Been Pwned?’ niet helemaal 100% waterdicht. Van slechts een klein deel van de 533 miljoen Facebook-data was het e-mailadres aanwezig. In de meeste gevallen ging het om telefoonnummers. Als je via bovenstaande website geen datalek kunt vinden, dan kun je toch nog steeds slachtoffer zijn van het Facebook-datalek.

Troy Hunt is van plan om mensen voortaan ook op basis van telefoonnummer te laten zoeken. Hij vraagt het publiek of mensen dit zien zitten, aangezien het ook weer nieuwe risico’s met zich meebrengt. Je zou op die manier namelijk ook data kunnen combineren om iemands identiteit te achterhalen.

Lauwe reactie van Facebook

Facebook-woordvoerster Liz Shepherd is de enige die tot nu toe gereageerd heeft en lijkt niet erg onder de indruk:

This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019.

Gebruikers reageerden boos: “Hoezo opgelost? De gegevens zijn nog steeds in omloop!” en: “Hoe kan ik mijn geboortedatum aanpassen?”. Ook zijn gebruikers boos dat Shepherd helemaal geen excuses aanbiedt en de zaak niet serieus lijkt te nemen.

Meer datalekken bij Facebook
Toch is er waarschijnlijk meer aan de hand dan een reeds gedicht datalek uit 2019. Begin 2020 werd er een andere kwetsbaarheid ontdekt, waardoor het mogelijk was om alle telefoonnummers te achterhalen die aan Facebook-accounts waren gekoppeld. Het wordt sindsdien dan ook aanbevolen om je telefoonnummer bij Facebook weg te halen.

Ook bleek dat duizenden ontwikkelaars in 2020 in staat waren om data van inactieve gebruikers te bekijken. Daarvoor was er het Cambridge Analytica-schandaal, waardoor externe partijen allerlei persoonlijke data in handen kregen van mensen die aan een persoonlijkheidsquiz hadden meegedaan (plus de data van hun vrienden).

Heb je je Facebook-account nog niet opgeheven en wil je dat alsnog doen, dan lees je hieronder hoe.

Bekijk ook

Facebook op een iPhone

Zo kun je Facebook verwijderen, je account opzeggen en data downloaden

Wil je je Facebook-account verwijderen? Dan vind je in dit stappenplan hoe Facebook opzeggen werkt: haal eerst je archief op, deactiveer of wis je account en wacht vervolgens een paar dagen. Wij leggen uit hoe het werkt.

Revisiegeschiedenis:

  • 2021 - 04 april: Paragraaf toegevoegd hoe te controleren of je getroffen bent (via haveibeenpwned)

Reacties: 18 reacties

  1. Schande dat er ook nog vergoelijkend wordt gezegd: “deze data is al weer eens tijdje geleden. Nl in 2019’! Alsof het daardoor minder erg is geworden. Op dit moment ga ik er vanuit dat niemand meer kan vertrouwen!

  2. De data was verouderd voor FaceBook en had daarom voor hun geen waarde. Het blijven echter privegegevens voor de gebruikers, maar daar heeft FaceBook lak aan.

    Het houdt mensen niet tegen om wat terughoudender te zijn met wat ze delen. Nu komt dit allemaal op de markt en kunnen partijen er misbruik van maken.

  3. Datalekken met privé- gegevens zijn bij Facebook zo normaal geworden, dat ze er zelf het liefst helemaal niet meer op reageren. Het geeft wel duidelijk aan hoe ze bij Facebook denken over het omgaan met privacy gegevens van hun gebruikers. Voor hun is het oud, dus niet meer belangrijk. Voor de mensen die nog steeds roepen dat ze niets te verbergen hebben, ik zou in ieder geval goed opletten bij vreemde berichten en/of mail.

  4. En daarom gebruik ik op internet valse geboortedata, adressen e.d. Die bedrijven hebben helemaal niets te maken met dat soort data en krijgen het dus ook niet van mij.

  5. Weet iemand hoe ik kan achterhalen of mijn gegevens erbij zitten?

  6. Allemaal Spionage! En Misbruik!

  7. Ik hoop dat Facebook een lesje leren als  de anti tracking functie uitbrengt

  8. Origineel geplaatst door RedBeard
    En daarom gebruik ik op internet valse geboortedata, adressen e.d. Die bedrijven hebben helemaal niets te maken met dat soort data en krijgen het dus ook niet van mij.

    Dat doe ik ook al jaren. Gewoon valse gegevens invoeren. Dit raad ik iedereen aan. Ik krijg mijn gratis verjaardags tompouce van de Hema een maand eerder, maar dat mag de pret niet drukken haha 🤣🤣

  9. Origineel geplaatst door Ro
    Weet iemand hoe ik kan achterhalen of mijn gegevens erbij zitten?

    Ja deze vraag had ik ook

  10. (Red.) Paragraaf toegevoegd hoe te controleren of je getroffen bent (via haveibeenpwned)

  11. @Ro: Heb de bestanden doorgespit. Meeste zijn volledige namen soms telefoonnummers. Relatie status en geolocation. Wil wel even kijken voor je.

  12. Origineel geplaatst door John
    @Ro: Heb de bestanden doorgespit. Meeste zijn volledige namen soms telefoonnummers. Relatie status en geolocation. Wil wel even kijken voor je.

    Het eerste nummer is gewoon het telefoonnummer, ze staan er dus bij allemaal bij.

  13. Origineel geplaatst door Ro
    Weet iemand hoe ik kan achterhalen of mijn gegevens erbij zitten?

    Dat hoeft niet. Het is 100% zeker dat als je toen een account had je erbij zit.

  14. Een Tweaker heeft een tool gemaakt waarmee je kunt checken of je gegevens gelekt zijn: https://jstsch.com/facebook/

  15. Origineel geplaatst door Pieter
    Een Tweaker heeft een tool gemaakt waarmee je kunt checken of je gegevens gelekt zijn:

    Dankjewel! Ik heb mijn gegevens ingevuld maar er kwam niets uit. Heb wel vorige maand een paar scam sms’jes gehad. Heb die gast uitgescholden en ging weer over tot de orde van de dag. Twijfel twijfel.

  16. Ik zie nu net dat ik één van de ‘gelukkige’ ben die gepwnd is maar weet nu niet wat te doen. En hoe kan ik dan achterhalen wat er allemaal in het openbaar is gekomen?

  17. @Jean-Paul Horn | iCulture.nl: Ik heb er geen last van , zit niet op Facebook en verwaten