Facebook geeft opheldering over datalek 500 miljoen gebruikers

Update 7 april 2021: Facebook heeft aangegeven dat de gegevens afkomstig zijn uit een gigantisch datalek uit 2019, dat nooit is gemeld. Dat zegt product management director Mike Clark in een blogposting. Volgens Clark is de informatie door scraping in verkeerde handen gekomen en niet door een hack. Facebook is er zeker van dat het probleem is opgelost. De kwaadwillenden zouden een functie om Facebook-contacten te importeren hebben misbruikt. Deze was vóór september 2019 beschikbaar op de site. Het was bedoeld om makkelijk vrienden te kunnen vinden.

Facebook heeft tegen de media gezegd dat de informatie door scraping is verzameld, maar Wired onderzocht de zaak verder en ontdekte ook een link met een Instagram-lek en een daarvan losstaand Facebook-lek uit midden 2018. Het bedrijf heeft gebruikers niet geïnformeerd over het voorval.

In de blogposting lijkt Facebook het incident snel achter zich te willen laten en benadrukt hoeveel moeite er wordt gestoken in toekomstige veiligheidsfuncties. Ook beloven ze fanatiek te jagen op mensen die de tools voor eigen gewin gebruiken.

Hieronder volgt ons oorspronkelijke artikel van 4 april 2021.

500 miljoen Facebookgegevens

Het zou gaan om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie en geboortedatum. In sommige gevallen zijn ook e-mailadres, relatiestatus en andere informatie af te lezen. Dit meldt beveiligingsonderzoeker Alon Gal van cybercrime intelligence-bedrijf Hudson Rock op Twitter. Gal vreest dat kwaadwillenden de data zullen gebruiken voor social engineering, hacking, marketing en scams. Maar volgens Facebook is er niet zoveel aan de hand: het zou gaan om oude gegevens die in 2019 zijn gestolen.

Toch zal voor veel mensen geboortedatum, geslacht, volledige naam en e-mailadres nog steeds hetzelfde zijn in 2021. Kwaadwillenden kunnen er nog steeds veel schade mee aanrichten.

https://twitter.com/UnderTheBreach/status/1378314424239460352

Facebook heeft niet laten weten welke kwetsbaarheid in 2019 tot het uitlekken van zoveel gebruikersgegevens leidde. Mogelijk gaat het om een functie waardoor het mogelijk was meerdere telefoonnummers in te voeren. Vervolgens kon je kijken welk nummer bij een specifieke gebruiker hoorde.

Wil je weten of je getroffen bent? De dataset is inmiddels toegevoegd aan de bekende site haveibeenpwned.com.

De gestolen gegevens werden een paar maanden geleden nog tegen betaling aangeboden. Nu zijn ze gratis beschikbaar gesteld op een forum. Het gaat om inwoners van tenminste 100 landen, waaronder ook de Benelux. De website Business Insider kreeg een fragment van de data in handen en vergeleek die met werkelijke data. Via de wachtwoordreset-functie van Facebook was het mogelijk om telefoonnummers te controleren, omdat daarvan een klein deel wordt onthuld.

Hoe weet je of jou data gelekt is?

Via de dienst ‘Have I Been Pwned?‘ kun je zien of jouw e-mailadres betrokken is bij dit Facebook-lek. De beheerder van de site, Troy Hunt, is een bekende en gerespecteerde beveiligingsspecialist. Hij heeft de e-mailadressen die zijn gelekt al toegevoegd aan de website, zodat je kunt bekijken of jouw Facebook-gegevens erin staan. Je vult je e-mailadres in en de website laat zien bij welke incidenten jouw gegevens betrokken zijn geweest.

Wat als je telefoonnummer is gelekt?

Toch is de methode van ‘Have I Been Pwned?’ niet helemaal 100% waterdicht. Van slechts een klein deel van de 533 miljoen Facebook-data was het e-mailadres aanwezig. In de meeste gevallen ging het om telefoonnummers. Als je via bovenstaande website geen datalek kunt vinden, dan kun je toch nog steeds slachtoffer zijn van het Facebook-datalek.

Troy Hunt is van plan om mensen voortaan ook op basis van telefoonnummer te laten zoeken. Hij vraagt het publiek of mensen dit zien zitten, aangezien het ook weer nieuwe risico’s met zich meebrengt. Je zou op die manier namelijk ook data kunnen combineren om iemands identiteit te achterhalen.

Lauwe reactie van Facebook

Facebook-woordvoerster Liz Shepherd is de enige die tot nu toe gereageerd heeft en lijkt niet erg onder de indruk:

This is old data that was previously reported on in 2019. We found and fixed this issue in August 2019.

Gebruikers reageerden boos: “Hoezo opgelost? De gegevens zijn nog steeds in omloop!” en: “Hoe kan ik mijn geboortedatum aanpassen?”. Ook zijn gebruikers boos dat Shepherd helemaal geen excuses aanbiedt en de zaak niet serieus lijkt te nemen.

Meer datalekken bij Facebook
Toch is er waarschijnlijk meer aan de hand dan een reeds gedicht datalek uit 2019. Begin 2020 werd er een andere kwetsbaarheid ontdekt, waardoor het mogelijk was om alle telefoonnummers te achterhalen die aan Facebook-accounts waren gekoppeld. Het wordt sindsdien dan ook aanbevolen om je telefoonnummer bij Facebook weg te halen.

Ook bleek dat duizenden ontwikkelaars in 2020 in staat waren om data van inactieve gebruikers te bekijken. Daarvoor was er het Cambridge Analytica-schandaal, waardoor externe partijen allerlei persoonlijke data in handen kregen van mensen die aan een persoonlijkheidsquiz hadden meegedaan (plus de data van hun vrienden).

Heb je je Facebook-account nog niet opgeheven en wil je dat alsnog doen, dan lees je hieronder hoe.

Bekijk ook

Zo kun je Facebook verwijderen, je account opzeggen en data downloaden

Wil je je Facebook-account verwijderen? Dan vind je in dit stappenplan hoe Facebook opzeggen werkt: haal eerst je archief op, deactiveer of wis je account en wacht vervolgens een paar dagen. Wij leggen uit hoe het werkt.