Onderzoekers Ashkan Soltani en Alon Gal, van cybersecuritybedrijf Hudson Rock kondigden gisteren in een video op YouTube aan dat ze met hun tool, Email Search v1.0, massaal automatisch mailadressen kunnen koppelen aan het bijhorende facebook-profiel. Ook als die gebruikers hun mailadres niet publiek hebben staan.

In de demo worden 65.000 adressen gematcht maar de tool zou tot vijf miljoen e-mailadressen per dag kunnen koppelen.

Facebook aanvankelijk niet geïnteresseerd

De onderzoekers hadden hun bevindingen eerst aan Facebook voorgelegd zodat het bedrijf maatregelen kon nemen. Daar klonk het dat de mogelijkheid niet belangrijk genoeg was om te worden opgelost.

Nadat ook in de media over de tool werd bericht kwam Facebook daar op terug. Het bedrijf zegt aan Vice dat het zich vergist heeft en de bevindingen aanvankelijk niet naar het juiste team had doorgestuurd en dat het probleem, dat je eindeloos vaak mailadressen kan opzoeken zonder beperking, wordt aangepakt.

Of het echt een vergissing is van Facebook, of dat het bedrijf bijstuurt omdat het nieuws de media haalt is lastig te zeggen. Facebook heeft een reputatie van securityproblemen pas op te lossen als ze een imagoprobleem vormen.

Zo negeerde het in 2017 een gelijkaardige melding rond het opzoeken van telefoonnummers. Dat werd later wel opgelost, maar intussen kon de data wel worden verzameld door cybercriminelen. Die data is intussen uitgelekt. Interne documenten die Data News te pakken kreeg tonen ook aan dat het bedrijf dergelijke wanpraktijken wil framen als 'normaal' en als iets wat overal voorkomt, om haar eigen imago te beschermen.

Geen groot probleem, wel oud probleem

Is zo'n tool een enorm gevaar? Neen. Door het enorme datalek bij Facebook is er al persoonlijke informatie van honderden miljoenen mensen uitgelekt. De tool automatiseert vooral de mogelijkheid om iemand te zoeken op basis van een mailadres. Tegelijk hebben veel mensen een mailadres waar hun naam in staat, waardoor dat vlot te linken is aan hun account.

Maar dat het mogelijk blijft om eindeloos veel opzoekingen te doen bij Facebook zonder beperking is een probleem dat Facebook al jaren heeft en waarvan het al jaren belooft het aan te pakken. Zeer specifiek zei het in april 2018 al dat het het opzoeken op basis van telefoonnummers en mailadressen zou beperken. Maar dat is drie jaar na datum nog steeds niet aangepakt zoals het hoort.

Onderzoekers Ashkan Soltani en Alon Gal, van cybersecuritybedrijf Hudson Rock kondigden gisteren in een video op YouTube aan dat ze met hun tool, Email Search v1.0, massaal automatisch mailadressen kunnen koppelen aan het bijhorende facebook-profiel. Ook als die gebruikers hun mailadres niet publiek hebben staan.In de demo worden 65.000 adressen gematcht maar de tool zou tot vijf miljoen e-mailadressen per dag kunnen koppelen.De onderzoekers hadden hun bevindingen eerst aan Facebook voorgelegd zodat het bedrijf maatregelen kon nemen. Daar klonk het dat de mogelijkheid niet belangrijk genoeg was om te worden opgelost.Nadat ook in de media over de tool werd bericht kwam Facebook daar op terug. Het bedrijf zegt aan Vice dat het zich vergist heeft en de bevindingen aanvankelijk niet naar het juiste team had doorgestuurd en dat het probleem, dat je eindeloos vaak mailadressen kan opzoeken zonder beperking, wordt aangepakt.Of het echt een vergissing is van Facebook, of dat het bedrijf bijstuurt omdat het nieuws de media haalt is lastig te zeggen. Facebook heeft een reputatie van securityproblemen pas op te lossen als ze een imagoprobleem vormen.Zo negeerde het in 2017 een gelijkaardige melding rond het opzoeken van telefoonnummers. Dat werd later wel opgelost, maar intussen kon de data wel worden verzameld door cybercriminelen. Die data is intussen uitgelekt. Interne documenten die Data News te pakken kreeg tonen ook aan dat het bedrijf dergelijke wanpraktijken wil framen als 'normaal' en als iets wat overal voorkomt, om haar eigen imago te beschermen.Is zo'n tool een enorm gevaar? Neen. Door het enorme datalek bij Facebook is er al persoonlijke informatie van honderden miljoenen mensen uitgelekt. De tool automatiseert vooral de mogelijkheid om iemand te zoeken op basis van een mailadres. Tegelijk hebben veel mensen een mailadres waar hun naam in staat, waardoor dat vlot te linken is aan hun account.Maar dat het mogelijk blijft om eindeloos veel opzoekingen te doen bij Facebook zonder beperking is een probleem dat Facebook al jaren heeft en waarvan het al jaren belooft het aan te pakken. Zeer specifiek zei het in april 2018 al dat het het opzoeken op basis van telefoonnummers en mailadressen zou beperken. Maar dat is drie jaar na datum nog steeds niet aangepakt zoals het hoort.