'Facebook-datalek raakt ook niet-gebruikers'
Door een bug in Facebook zijn veel meer gegevens gelekt dan de sociale netwerksite in eerste instantie vertelde, onder andere van niet-gebruikers. Dat stellen verschillende beveiligingsonderzoekers die de bug bij Facebook ontdekten. Afgelopen vrijdag meldde Facebook dat door een bug de gegevens van 6 miljoen gebruikers onbedoeld waren gedeeld.
Via de Download Your Information (DYI) tool was het mogelijk om een archief te downloaden, wat ook een adresboek bevatte met contactgegevens die nooit door gebruikers aan Facebook waren verstrekt. Facebookgebruikers kunnen contacten uploaden en vervolgens de Expanded Dataset optie kiezen.
Na een aantal uren ontvingen gebruikers een downloadlink om het archief te downloaden. Dit archief bevat ook een bestand genaamd addressbook.html. Dit bestand zou alleen contactgegevens moeten bevatten die gebruiker zelf had geüpload.
Door een fout in de manier waarop Facebook hiermee omging, bevatte het ook contactgegevens van dezelfde persoon die door andere gebruikers waren geüpload.
Gebruikers
Na te zijn ingelicht stuurde Facebook naar 6 miljoen gebruikers een e-mail waarin stond hoeveel informatie er was gelekt. De onderzoekers die het probleem ontdekten beschikten over een dataset om te controleren of de aantallen die Facebook rapporteerde kloppen. En dan blijkt dat er veel meer gegevens zijn gelekt dan Facebook vertelt. En niet alleen gegevens van Facebookgebruikers, ook van mensen die niet op de sociale netwerksite actief zijn.
Als bijvoorbeeld Facebookgebruiker Henk van Facebookgebruiker Jan een telefoonnummer en e-mailadres uploadt, maar een andere gebruiker uploadt van Jan een ander e-mailadres en telefoonnummer, dan zou Jan alleen over de upload van Henk zijn gewaarschuwd, en niet van de gegevens die de andere gebruiker uploadde.
Correlatie
Daarnaast zijn er op deze manier ook gegevens van niet-gebruikers geüpload. Facebook stelt in een verklaring tegenover de onderzoekers dat het deze gebruikers niet kan waarschuwen, omdat dit tot het lekken van nog meer informatie zou leiden, maar dat vinden de onderzoekers een zwak excuus. Het werkelijke aantal getroffen gebruikers, al dan niet actief op Facebook, blijft dan ook onbekend.
"Als een miljard gebruikers hun contacten uploaden, worden hun kennissen op en buiten Facebook opgeslagen en gecorreleerd. Op dit moment kan Facebook de e-mailadressen en telefoonnummers van iedereen hebben, actief op Facebook of niet", concluderen de onderzoekers van PacketStorm.
maar dit in combinatie met dat de android app meteen je telefoon nummer door stuurd naar de servers van facebook..
Ik bedoel maar.... ze mappen nu gewoon alles deze informatie is een natte droom voor PRISM..
mobiel nummer gekoppeld aan je e-mail >> alle contacten worden aangevuld met gegevens van alle andere contacten;;; en het plaatje is compleet niet waar?
http://www.youtube.com/watch?v=zU6NftSp-Zo
Als we het boven geschetste voorbeeld nemen, maar er vanuit gaan dat Jan geen faceboek gebruiker is..
Zijn informatie wordt wel geupload. Daar heeft Jan in deze situatie nooit toestemming voor gegeven.
Toch analyseert en verzameld FB (en net als alle andere partijen als Google, MS, WhatsApp, etc) alle informatie over Jan.
Dat alles enkel omdat je in de contact informatie van iemand staat.
Jan weet niet eens dat deze informatie verzameld wordt. Hoe wordt zijn privacy gewaarborgd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
