Facebooks gigantische datalek werd veroorzaakt door… Facebook
Hoewel Facebook het enorme datalek klasseert als oud nieuws, is het wel degelijk het gevolg van een slecht security- en privacybeleid bij het sociale netwerk. Het bedrijf negeerde waarschuwingen van een Belgische hacker en maakte zelf telefoonnummers identificeerbaar.
Afgelopen weekend raakte bekend dat de gegevens van een half miljard Facebookgebruikers, waarvan 3.183.584 Belgen, werden gedeeld op een hackersforum. De gegevens zelf circuleren al langer, maar werden doorgaans tegen betaling uitgewisseld. Het probleem is dus niet nieuw, maar nu kan letterlijk iedereen aan gsm-nummers en geboortedata van miljoenen mensen. Het is een goudmijn voor oplichters.
Bij Facebook blijft het stil en probeert men het lek te kaderen als oud nieuws. ‘Het gaat hier om oude gegevens waarover in 2019 al werd gerapporteerd. We hebben het probleem in augustus 2019 ontdekt en verholpen.’ Dat is de enige reactie die journalisten krijgen van het bedrijf. Bijkomende vragen worden niet beantwoord. Maar die reactie is misleidend.
Probleem al sinds 2017 gekend
Zo liegt Facebook als het zegt dat het probleem in augustus 2019 is ontdekt en verholpen. De Belgische ethische hacker Inti De Ceukelaire waarschuwde in januari 2017 al dat het mogelijk is om iemands telefoonnummer te achterhalen. Hij wist toen onder meer het nummer van (toenmalig binnenlandminister) Jan Jambon te verkrijgen via Facebook.
Dat was mogelijk via de functie om vrienden op te zoeken op Facebook. Als dat nummer op je profiel staat, enkel zichtbaar voor vrienden, dan ben je ook te vinden door iemand die je telefoonnummer opgeeft. Klinkt handig, maar het was ook te misbruiken: gooi random telefoonnummers naar Facebook en de site zegt je aan wiens naam/profiel ze toebehoren.
‘Er staat een limiet op hoe vaak je dat per dag per account kan doen, maar met meerdere accounts valt dat te omzeilen’, zegt De Ceukelaire aan Data News. ‘Het was ook mogelijk om tot 10.000 contacten te importeren, dat was een belachelijk hoge limiet.’ Facebook is overigens niet de enige die dat doet. Ook Skype maakt het mogelijk om op vergelijkbare wijze mensen te identificeren.
‘Misschien in de toekomst’
Facebook negeerde toen de waarschuwing van De Ceukelaire, maar heeft ze wel degelijk ontvangen. Het bedrijf reageerde toen naar hem dat het probleem niet zo ernstig was en dat de functie in de toekomst misschien zou beperkt worden.
Iemands naam, geboortedatum en telefoonnummer zijn doorgaans geen gegevens die elk jaar veranderen. Het lek is oud, de data zijn in de meeste gevallen nog steeds actueel
Facebook gaat overigens kort door de bocht als het spreekt van ‘oude gegevens’. Iemands naam, geboortedatum en telefoonnummer zijn doorgaans geen gegevens die elk jaar veranderen. Het lek is oud, de data zijn in de meeste gevallen nog steeds actueel.
Niet zelf gerapporteerd
De bewering dat dit in 2019 werd gerapporteerd is ook vrij te interpreteren. Vragen we het bedrijf waar Facebook daar zelf een openbare melding van heeft gemaakt, dan blijft het antwoord uit. Het bedrijf wijst naar artikels in de media over een onbeveiligde server (geen server van Facebook) waar de gegevens circuleren. Op dat moment reageerde Facebook niet.
Dat staat in contrast met de PR-machine die Facebook zelf draaiende houdt. Het bedrijf communiceert zelf graag wanneer het acties onderneemt tegen fake accounts, tegen desinformatie rond verkiezingen of corona, of ander ‘positief’ nieuws. Dat de data van bijna een kwart van haar gebruikers online uitlekt is niet terug te vinden in haar persberichtenarchief, niet in 2019, niet vandaag.
In stilte gemeld
Wat wel is terug te vinden is een mededeling van 4 april 2018 waarin Facebook een hoop maatregelen aankondigt om datatoegang te beperken. Daar staat onder meer de optie om vrienden via telefoonnummers te vinden. Als nuttig voorbeeld wijst het bijvoorbeeld naar landen als Bangladesh, waar het moeilijk is om een naam in de lokale taal in te geven op Facebook, waardoor een telefoonnummer ingeven makkelijker is.
Technisch gezien werd het probleem dus wel gemeld, maar in stilte en zonder de boodschap dat de profielen van 533 miljoen mensen intussen waren verzameld
‘Maar, malafide spelers hebben deze functies ook misbruikt om publieke profielinformatie te vergaren’, klinkt het kort in die aankondiging. Gezien de schaal waarop dit gebeurde heeft Facebook die functie daarom uitgeschakeld. Technisch gezien werd het probleem dus wel gemeld, maar in stilte en zonder de boodschap dat de profielen van 533 miljoen mensen intussen waren verzameld. De aanpak gebeurde bovendien meer dan een jaar nadat De Ceukelaire wees op het probleem.
Hij nuanceert daarbij dat een bedrijf niet hoort beschaamd te worden omdat het met een datalek kampt, maar dat Facebook in de keuze tussen security of groeimogelijkheden eerder voor het laatste kiest. ‘Je merkt bij Facebook dat er wel een enorm goed securityteam is, maar als het neerkomt op de zone tussen security, privacy en misbruik, dan zie je dat er beslissingen worden genomen die vooral in het zakelijk belang zijn’, zegt De Ceukelaire.
Gebruikers en autoriteiten niet ingelicht
Ook de databeschermingsautoriteit van Ierland, waar Facebook’s Europees hoofdkwartier staat, reageert intussen en stelt dat het gaat om een dataset die waarschijnlijk tussen juni 2017 en april 2018 werd verzameld. ‘Omdat die scraping gebeurde voor de invoering van GDPR, koos Facebook om dit niet te melden als een persoonlijk datalek onder de GDPR,’ klinkt het.
De Ierse autoriteit merkt daarbij ook op dat het het afgelopen weekend zelf nog geen antwoorden heeft gekregen van Facebook over het lek.
Ook Data News vroeg Facebook of haar gebruikers of lokale data- en privacyautoriteiten zijn geïnformeerd, maar daar geeft het bedrijf geen antwoord op. Op dit moment heeft het enkel bovenstaande zin als reactie. Mocht daar nog bijkomende duiding rond komen dan vullen we dit artikel verder aan.
Facebook maakt nummers zelf openbaar
Wat voor Facebook de zaak enigszins verzachtend maakt is dat mensen in principe zelf hebben gekozen om hun telefoonnummer op hun profiel te zetten, enkel zichtbaar voor mensen met wie ze bevriend zijn. Maar ook dat klopt niet.
Facebook heeft in het verleden niet-publieke telefoonnummers alsnog opzoekbaar gemaakt. In 2019 ontdekten gebruikers dat het telefoonnummer dat ze enkel voor tweestapsverificatie (2FA) opgaven, om hun account extra te beveiligen, ook was op te zoeken voor anderen. Er was ook geen optie om dat nummer weer weg te halen.
Er zijn zelfs bewijzen dat ook telefoonnummers die vrienden van jou opgeven (door Facebook toegang te geven tot hun adresbestand) worden doorgespeeld voor advertentiedoeleinden. Maar dat staat los van dit datalek.
Deels schuldig, volledig verantwoordelijk
De materie is complex. Facebook heeft er enerzijds weinig mee te maken dat die miljoenen gegevens nu openbaar worden gemaakt. Het klopt ook dat die data al langer circuleert en al jaren geleden werd verzameld zonder toestemming van Facebook.
Je hebt privacyschending waar Facebook actief aan meewerkt, en privacyschending waar het bedrijf passief aan meewerkt. Dit datalek valt in de laatste categorie
Dat laatste is een nodige nuance want Facebook wisselde in het verleden wel vaker gebruikersdata uit met bedrijven zoals Netflix en Spotify. Je hebt privacyschending waar Facebook actief aan meewerkt, en privacyschending waar het bedrijf passief aan meewerkt. Dit datalek valt in de laatste categorie.
Maar die passieve medewerking was er wel degelijk. De nu publiek gemaakte gegevens konden in 2017 en 2018 zonder veel moeite verzameld worden omdat Facebook bepaalde functies belangrijker achtte dan hun impact op security en privacy.
Toen anderen, zoals De Ceukelaire, het bedrijf daarover waarschuwden duurde het meer dan een jaar voor het bedrijf actie ondernam en intussen konden uw en mijn gegevens probleemloos verzameld worden. Met medeweten van Facebook.
Fout opgemerkt of meer nieuws? Meld het hier