Interne mail toont hoe Facebook veiligheidsproblemen wil ‘normaliseren’
Facebook wil het datalek dat het twee jaar lang onopgelost liet liefst minimaliseren. ‘Op langere termijn moeten we dit framen als een sectorprobleem en normaliseren dat dit gebeurt’, staat in een interne mail die Data News kon inkijken.
Facebook heeft een communicatiestrategie klaar om het datalek waarbij 533 miljoen accounts, waaronder drie miljoen Belgen, uitlekten, af te doen als iets wat de hele sector treft. Tegelijk verwacht het bedrijf dat dit nog zal gebeuren en wil het in de toekomst met blogposts over het onderwerp ervoor zorgen dat het niet langer op elk incident moet reageren.
Dat is een korte samenvatting van een interne communicatiemail die in de mailbox van Data News belandde. De mail zelf dateert van 8 april en komt van een communicatieverantwoordelijke bij Facebook, en is gericht aan de pr-medewerkers van het bedrijf in EMEA (Europa, Midden-Oosten en Afrika).
De mail dateert van enkele dagen nadat het datalek bekend raakte en is in eerste instantie vooral een samenvatting van de persartikels over het incident. Zo leren we dat Facebook geen extra verklaringen zal afleggen, omdat het bedrijf verwacht dat de persaandacht voor het probleem wel gaat liggen. Niet of matig reageren is een pr-techniek die Facebook wel vaker gebruikt om de persaandacht voor een probleem te beperken.
‘Framen als sectorprobleem’
Maar de mail bevat ook een ‘long-term strategy’ die duidt hoe Facebook de techniek waarmee de gestolen data werden verzameld wil afdoen als een sectorprobleem en niet iets wat vooral Facebook treft. Er staat ook expliciet dat dit niet het laatste incident zal zijn.
Het fragment uit de mail in kwestie:
‘Op lange termijn verwachten we meer scraping-incidenten en het is belangrijk om dit als een sectorprobleem te framen en te normaliseren dat dit regelmatig gebeurt. Om dit te doen, stelt het team een follow-up post in de komende weken voor die breder praat over ons anti-scraping werk en meer transparantie biedt rond het werk dat we hier doen. Dit kan een groot deel van de scraping-activiteiten weerkaatsen, we hopen dat dit helpt het feit te normaliseren dat dit lopende is en de kritiek te vermijden dat we niet transparant zijn over specifieke incidenten.’
De rest van de mail bevat onder meer verwijzingen naar een breder communicatieplan over het incident met verklaringen die lokale woordvoerders mogen geven. Verder in de mail lezen we onder meer ook dat communicatie rond data portability (overdraagbaarheid van gebruikersdata) is uitgesteld naar 22 april.
Scrapingrisico sinds 2017 bekend, pas in 2019 opgelost
Data News ontving de mail per ongeluk toen we Facebook vroegen naar meer duidelijkheid rond het datalek, want de tijdlijn die het bedrijf hanteert klopt niet en vragen daarover worden niet beantwoord.
Scraping is een techniek waarbij iemand informatie van profielen of sites haalt. Facebook verklaarde begin deze maand meteen dat het probleem in augustus 2019 werd ontdekt en opgelost.
Dat is feitelijk onjuist. Ethisch hacker Inti De Ceukelaire waarschuwde het bedrijf in januari 2017 al dat het mogelijk was om iemands telefoonnummer te achterhalen via Facebook. Hij wees hen er toen ook op dat het mogelijk is om tot tienduizend contacten per keer te importeren.
Facebook reageerde toen naar hem met de boodschap dat dit geen ernstig probleem was, waardoor het nog meer dan een jaar mogelijk bleef om willekeurige telefoonnummers en mailadressen te uploaden naar Facebook en te zien aan welk profiel ze toebehoren. Pas op 4 april 2018 kondigde Facebook maatregelen aan om dat te beperken. Maar duidelijk onvoldoende want een jaar later werden verdere stappen ondernomen.
Data News heeft bij Facebook de afgelopen weken meermaals aangedrongen op bijkomende duiding en kreeg deze week te horen dat er vanaf 2019 ‘verbeteringen’ zijn aangebracht in de functie om contacten te importeren. Expliciete details wil het bedrijf niet vrijgeven uit veiligheidsredenen.
De aanvankelijke bewering dat Facebook pas in 2019 ontdekte dat scraping mogelijk was, is dus gelogen. Als we het bedrijf vragen of het de praktijk heeft onderschat, gezien het de zeer concrete waarschuwing in 2017 van De Ceukelaire in de wind sloeg, dan blijft het antwoord uit.
Nieuw incident, oude strategie
De aanpak van Facebook is niet nieuw. Ook bij de verkiezingsmanipulatie in de VS in 2016 stak het bedrijf aanvankelijk de kop in het zand en weigerde het enige verantwoordelijkheid te nemen.
Pas toen de bewijzen bijna onweerlegbaar waren kwam de pr-motor van het bedrijf op gang en volgden blogs en sessies met journalisten om te benadrukken dat Facebook stappen onderneemt tegen fake accounts en manipulatie op haar platform. De interne mail van Facebook suggereert echter dat dit vooral is om te laten uitschijnen dat het bedrijf er continu mee bezig is, zodat het moeilijker kan gewezen worden op individuele incidenten.
Is het een sectorprobleem?
Facebook heeft ook geluk. In die zin dat een week na zijn datalek ook data van 500 miljoen LinkedIn accounts circuleerde en de week nadien ook Clubhouse-leden slachtoffer werden van scraping. Dat laat het lijken alsof het effectief overal voorkomt. Maar het datalek bij Facebook is van een andere gewichtsklasse.
Zo gaat het bij Clubhouse en LinkedIn voor zover bekend wel degelijk om info die je als (niet bevriende/geconnecteerde) gebruiker ook kan vinden. Bij Facebook ging het onder meer om telefoonnummers en mailadressen die in theorie enkel zichtbaar zijn voor vrienden. De mogelijkheid om jezelf opzoekbaar te maken via telefoonnummers stond bij Facebook standaard aan.
Scraping komt dus wel op meer plaatsen voor. Maar Facebook gaf scrapers een pak meer persoonsgegevens, die niet zichtbaar waren voor onbekenden, dan andere platformen. Tegelijk wist het bedrijf in 2017 al dat de praktijk mogelijk was op hun platform en weigerde het twee jaar lang voldoende stappen te nemen. Had het bedrijf toen de gaten in zijn systeem gedicht, dan was die data mogelijk nooit verzameld.
Het probleem is dus niet dat scrapers het op Facebook gemunt hebben, maar wel dat Facebook niets deed om de praktijk voldoende tegen te gaan, tot er op een dag een half miljard gegevens op straat lagen.
Hieronder kan je de volledige mail, terugvinden.
Fout opgemerkt of meer nieuws? Meld het hier