Het is beveiligingsbedrijf UpGuard dat ontdekte dat data van twee externe partijen onbeveiligd in een Amazon S3 bucket werden bewaard. Het gaat om meer dan 540 miljoen gegevens, zo'n 146 gigabyte, van het Mexicaanse mediabedrijf Cultura Colectiva. Die bevatten de facebook-identificatie (gebruikersnamen), likes, reacties en andere data.

In een tweede geval gaat het om data die werd bewaard door de app At the Pool, een app die in 2014 werd stopgezet. Hier gaat het om gebruikersnamen/ID's, de vrienden, likes, muziek, boeken, events, groepen en check-in's van gebruikers. Ook vond UpGuard een map met wachtwoorden, al gaat het hier vermoedelijk om de wachtwoorden van At the Pool en niet van Facebook.

UpGuard contacteerde Cultura Colectiva in januari over het lek, maar daar werd geen actie ondernomen. Pas nadat UpGuard het verhaal publiek maakte, verdwenen de gegevens. De data die At the Pool publiek had staan, verdween al tijdens het onderzoek van UpGuard.

Facebook haalde data weg

Dat de gegevens van Cultural Collective zijn verdwenen, lijkt nu te komen door een samenwerking van Facebook en Amazon. In een reactie aan Reuters zegt Facebook dat het de database offline wou zodra het op de hoogte was van het probleem. Het bedrijf laat in een reactie aan Data News ook weten dat het bewaren van Facebookdata in een publieke database in strijdt is met haar beleid.

Cultura Collective nuanceert aan Reuters dat het niet om gevoelige data ging, enkel om informatie die het via haar drie Facebookpagina's kon verzamelen.

Dat er data van Facebookgebruikers open en bloot stond is dus niet rechtstreeks de fout van Facebook, maar het toont wel dat het relatief makkelijk is voor ontwikkelaars of eigenaars van pagina's om data van gebruikers te bewaren. Dat is ook hoe het schandaal rond Cambridge Analytica is kunnen ontstaan. Ook hier kreeg een externe app toegang tot bijzonder veel data van individuele profielen.