De privé-gegevens van miljoenen Facebookgebruikers lagen twee jaar lang te grabbel voor de websites waar ze naartoe surften. Een veiligheidslek in een populaire app voor persoonlijkheidstestjes lag aan de oorzaak, zo bracht de ethische hacker Inti De Ceukelaire naar buiten.
‘Dit soort schandalen zal nog vaak de kop opsteken’, schreven we na de heisa rond Cambridge Analytica. Dat moet ook Facebook zelf gevreesd hebben, want het startte in april een bug bounty-programma, dat een beloning schenkt aan iedereen die een app ontdekt die gebruikersgegevens illegaal doorspeelt.
Na die bekendmaking ging de Aalsterse computerspecialist Inti De Ceukelaire meteen aan de slag. Bij het scrollen door zijn tijdlijn merkte hij dat zijn Facebook-vrienden een app gebruiken om quizjes, genre ‘Welke Disney-prinses ben jij?’, in te vullen. Dergelijke testjes worden gemaakt door het Duitse bedrijf Social Sweethearts. Haar app ‘Nametests’ wordt iedere maand door meer dan 120 miljoen mensen gebruikt, ook door Belgen.
Toen de ethische hacker zelf eens zo’n testje invulde, merkte hij tot zijn verbazing dat de app niet alleen allerlei privégegevens verzamelt, maar ook dat ze die informatie in javascript bijhoudt. Hij besefte dat die gegevens daardoor opgevraagd konden worden door eender welke andere website.
Om na te gaan of het werkelijk zó gemakkelijk zou zijn, zette De Ceukelaire zelf een externe website op die verbinding maakte met NameTests.com. En inderdaad: hij wist toegang te krijgen tot alle Facebook-berichten, -foto’s en -vrienden van iedereen die naar zijn website surfte en de NameTests-app had geïnstalleerd. Het lukte hem zelfs om de gegevens te bemachtigen van iemand die het quizje had gespeeld en achteraf de app had verwijderd. Dat laat hij in een video zien. Volgens De Ceukelaire kunnen die gegevens daarna nog twee maanden op zijn website blijven staan.
“Ik kan me voorstellen dat niemand wil dat een website je informatie en foto’s kan stelen”, schrijft hij in een blog. “Die website zou u bijvoorbeeld gerichte (politieke) advertenties kunnen sturen op basis van uw Facebook-berichten en -vrienden. Meer expliciete websites zouden dit datalek hebben kunnen misbruiken om hun bezoekers te chanteren. Ze zouden er bijvoorbeeld mee kunnen dreigen de stiekeme browsegeschiedenis van hun bezoekers aan hun Facebook-vrienden te bezorgen.”
In tegenstelling tot bij het Cambridge Analytica-schandaal bestaat er in dit geval nog geen bewijs van misbruik door een derde partij. Het lek is intussen ook gedicht, liet Facebook in een reactie aan De Ceukelaire weten. De ethische hacker meldde het datalek al op 22 april aan het sociale media-bedrijf. Hij wordt nu beloond met een premie van 8.000 dollar. Die zal hij schenken aan de Freedom of The Press Foundation.
De Ceukelaire is niet aan zijn proefstuk toe. Hij haalde eerder al straffe stoten uit, waarvan de laatste een parodie op Cambridge Analytica was. Op 1 april maakte hij bekend dat hij met dat quizje de gegevens van 200.000 mensen had verzameld.
