image

Miljoenen privégegevens Facebookgebruikers gelekt

donderdag 4 april 2019, 09:33 door Redactie, 21 reacties

Onderzoekers hebben op een cloudserver van Amazon miljoenen privégegevens van Facebookgebruikers ontdekt die voor iedereen op internet toegankelijk waren. De gegevens waren via twee derde partijen verzameld en in een Amazon S3-bucket opgeslagen.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De buckets van het Mexicaanse Cultura Colectiva, een contentplatform, en de Facebook-app "At the Pool" waren voor iedereen op internet toegankelijk. Alleen het kennen van de url was voldoende.

In het geval van Cultura Colectiva ging het om een dataset van 146 gigabyte met 540 miljoen records, waaronder reacties, likes, gebruikersnamen, Facebook-ID's en meer. De back-up van At the Pool bevatte informatie over 22.000 gebruikers, waaronder hun plaintext wachtwoorden voor de app, namen, e-mailadressen, Facebook-ID en andere gegevens. At the Pool stopte in 2014 en het achterliggende bedrijf bestaat niet meer. De back-up met gebruikersgegevens bleek echter nog rond te zwerven.

"De datasets verschillen in wanneer ze voor het laatst zijn bijgewerkt, de datapunten die ze bevatten en het aantal unieke individuen. Wat ze verbindt is dat ze beide data over Facebookgebruikers bevatten, hun interesses, relaties en interacties beschrijven, die voor third party-ontwikkelaars toegankelijk waren", aldus securitybedrijf UpGuard dat de datasets ontdekte.

Datalek

Cultura Collectiva werd op 10 januari via e-mail ingelicht door UpGuard, gevolgd door een tweede e-mail op 14 januari. UpGuard heeft nog altijd geen enkele reactie van het contentplatform ontvangen. Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht.

Drie weken later op 21 februari was de data nog steeds niet beveiligd en stapte UpGuard opnieuw naar Amazon, dat liet weten naar de zaak te zullen kijken. Pas nadat Facebook was ingelicht werd de dataset op 3 april beveiligd. De dataset van At the Pool was al tijdens het onderzoek offline gehaald.

Reacties (21)
04-04-2019, 11:07 door Anoniem
Hoe lang mag dit zo nog doorgaan?
04-04-2019, 11:20 door karma4
Voor de duidelijkheid het is Cultura Collectiva en At the Pool waar de data verzameld en de data gelekt is.
https://en.wikipedia.org/wiki/Cultura_Colectiva "Cultura Colectiva is a Mexico-based digital media publisher.[1] It publishes content designed to be shared over social media networks targeted at a Latin American audience.[2] It currently ranks third among the most read digital native media publishers in Mexico[3] and one of the 10 most important in Latin America."

Voor Nederland kom je mogelijk bij Talpa dan wel Elsevier als verwerkingsverantwoordelijke uit voor de data verzamelwoede. AWS Amazon als IAAS dienstverlener leent zich wel heel makkelijk om dat zo open te laten staan.
04-04-2019, 11:34 door Anoniem
Waren er dan nog Facebook gebruikers waarvan de privédata niet gelekt is!?
04-04-2019, 12:28 door Anoniem
ja en dan heeft men het niet eens : over vpn van protonmail.com gratis nou ja gratis ze pluizen heel je pc/smart/tab
na (leeg) hoe dat zo ? mijn ervaring is dat proton mijn pc om de 2 min contact maakte met arabiese emiraten
of wel de veiligheid- certificaten van QuoVadis/darkmatter deze tussen pers. pluisen je pc na
mijn actie ales van proton van mijn pc/tab/smart . verwijderd
ps ik heeft dit ervaren als a men in The middel aanval
ik post dit even bij security voor mijn mede mens/pc collega's
graag een reactie van ....hoe men hier over denkt
04-04-2019, 13:40 door Anoniem
Ha anoniem van 12:28

Dark Matter trachttte men te pakken te nemen op de certificaat encryptie standaard, bleken alle andere certificaten ook niet te voldoen aan dat specifieke voorschrift. Jammer actie mislukt. Weggegooid geld, want het moet allemaal vervangen.Dan moet je je afvragen, welke staatsentiteiten leven er arm in voet met de emiraten, waar zit die crypto-elite? Waar een onschatbaar waardevolle schildering van mogelijk Da Vinci wordt verkocht om een zeer luxe jacht aan te kunnen schaffen,
want de schildering kon wel eens geen echte Da Vinci zijn en dus gezichtsverlies voor de sjeik. Gesjacher-macher dus. Dat soort dingen in dat soort kringen.

Jij ziet dit misschien en neemt maatregelen, anderen interesseert het echter geen zier en wat het ergste is, de "ho-houder" ontbreekt of faalt jammerlijk. Want hieris het letterlijk dat om de "smeer" likken de katten de kandeleer. Jij begrijpt wel wie deze katten zijn. De meeste mensen weten dus niet wat er achter hun schermpjes gebeurt en worden alleen geconfronteerd met de gevolgen. De een houdt ze arm, de ander zorgt dat ze dom blijven, gaat al eeuwen zo, al sinds de dagen van "by the rivers of Babylon".

P.S. Nog wel goed dat er alerte gebruikertjes zoals jij overblijven op het digitale grid. Laat de sp**ks maar weer eens zweten.
04-04-2019, 13:55 door Anoniem
Door Anoniem: ja en dan heeft men het niet eens : over vpn van protonmail.com gratis nou ja gratis ze pluizen heel je pc/smart/tab
na (leeg) hoe dat zo ? mijn ervaring is dat proton mijn pc om de 2 min contact maakte met arabiese emiraten
of wel de veiligheid- certificaten van QuoVadis/darkmatter deze tussen pers. pluisen je pc na
mijn actie ales van proton van mijn pc/tab/smart . verwijderd
ps ik heeft dit ervaren als a men in The middel aanval
ik post dit even bij security voor mijn mede mens/pc collega's
graag een reactie van ....hoe men hier over denkt
Een gratis betrouwbare vpn bestaat NIET, heeft nog nooit bestaan en zal ook nooit bestaan. Dataverkeer kost veel geld, bedrijven gaan nooit gratis dataverkeer geven aan miljoenen mensen, zo'n bedrijf zou in 1 seconde falliet geraken. Als je dan toch een gratis vpn gebruikt, kom dan niet zeuren dat de vpn onbetrouwbaar is.
04-04-2019, 15:03 door John777
Door Anoniem: ja en dan heeft men het niet eens : over vpn van protonmail.com gratis nou ja gratis ze pluizen heel je pc/smart/tab
na (leeg) hoe dat zo ? mijn ervaring is dat proton mijn pc om de 2 min contact maakte met arabiese emiraten
of wel de veiligheid- certificaten van QuoVadis/darkmatter deze tussen pers. pluisen je pc na
mijn actie ales van proton van mijn pc/tab/smart . verwijderd
ps ik heeft dit ervaren als a men in The middel aanval
ik post dit even bij security voor mijn mede mens/pc collega's
graag een reactie van ....hoe men hier over denkt

Ik weet 't niet, wellicht is Nederlands niet je eerste taal maar ik kan geen touw aan vastknopen.
04-04-2019, 16:26 door PietNL
Ik geloof er niets van, waar is het bewijs?
04-04-2019, 18:57 door Anoniem
Door PietNL: Ik geloof er niets van, waar is het bewijs?
Hoezo jij gelooft er niets van? Bovendien zijn we het ondertussen al gewend dat facebook data leakt en hoeft er ook geen bewijzen worden getoond.
04-04-2019, 20:41 door Krakatau
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

Hoe krijg je het dan toch voor elkaar om ze publiek toegankelijk te maken?
04-04-2019, 21:45 door Anoniem
Door Anoniem:
Door PietNL: Ik geloof er niets van, waar is het bewijs?
Hoezo jij gelooft er niets van? Bovendien zijn we het ondertussen al gewend dat facebook data leakt en hoeft er ook geen bewijzen worden getoond.
Mooie is alleen dat de data niet door Facebook gelekt is.
Dus welk bewijs?
04-04-2019, 21:57 door Anoniem
Door Krakatau:
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

Hoe krijg je het dan toch voor elkaar om ze publiek toegankelijk te maken?

idd, hoe?
04-04-2019, 23:40 door Anoniem
Door Krakatau:
Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

Hoe krijg je het dan toch voor elkaar om ze publiek toegankelijk te maken?

idd, hoe dan?
04-04-2019, 23:40 door Anoniem
@ Krakatau,

Dat kan echt, al zeg jij niet te weten hoe het kan. Het is net als in het liedje ik zag twee beren broodjes smeren.
Hi, hi, hi, ha, ha, ha, ik stond erbij en ik keek erna, bijvoorbeeld hier:

Lees dit eens: https://medium.com/@grayhatwarfare/how-to-search-for-open-amazon-s3-buckets-and-their-contents-https-buckets-grayhatwarfare-com-577b7b437e01
Er zijn dus grijze hoeden serieus mee bezig: https://medium.com/@localh0t/unveiling-amazon-s3-bucket-names-e1420ceaf4fa Een leukerdje was die %C0 Truuk.

Ze zouden natuurlijk hun energie beter kunnen besteden aan het voorkomen van dergelijke onveiligheid, maar ja iedereen is nu eenmaal niet met hetzelfde bezig zoals wij, eerlijke security mensen.

luntrus
05-04-2019, 00:36 door Anoniem
Mooie tweetraps-crux!

Facevook zegt dat dataverzamelen niet mag terwijl het zelf de poort wijd open zet. En kan wel van alles willen bepalen maar heeft de macht niet om te handhaven. Want een domeinnaam is geen land en heeft geen legwr.

Dan heb je nog Amazon die je een eigen virtuele server belooft maar daar dus als zij dat nodig vibden delete op doen en dan had je helemaal geen eigen server. Het open zetten van zo een bak data is bedenkelijk. Maar het op eigen houtje vernietigen van data net zo zeer. Zo is in de gewone wereld ook het op eigen houtje vernietigen van bewijs iets wasr je mee op moet passen. Al zeker als het materiaal niet van jou is maar van een klant.

Eigen serverbakken hebben veel beter. Want het is net als met die advocaten die ineens de USA niet meer in mogen. Amerikanen zijn niet gied in staat om met de wereld om te gaan. De Engelse mentaliteit overheerst: Als je denkt dat je overal de baas bent, dan hoef je verder de wereld niet te begrijpen.

Helaas is Facebook geen land. En amazon ook niet. Die laatsten willen 3200 satellieten de lucht in voor internet. Als we niet oppassen (techniek gaat snel) dan hebben zitten we nu naar 3200 stuks verouderd ruimtepuin te kijken voor over 5 of 10 jaar.

Goeie PR.
05-04-2019, 10:27 door Anoniem
Heel slecht van Amazon. Je zou zeggen dat ze dit zelf wel opgemerkt zouden hebben door even al hun interne ips te scannen op open directories, net zoals cloud providers dat doen voor open SMTP relays om spam te voorkomen.. Slapende ICT'er dus bij Amazon.
05-04-2019, 11:11 door Anoniem
Door Anoniem: Heel slecht van Amazon. Je zou zeggen dat ze dit zelf wel opgemerkt zouden hebben door even al hun interne ips te scannen op open directories, net zoals cloud providers dat doen voor open SMTP relays om spam te voorkomen.. Slapende ICT'er dus bij Amazon.
Waarom? Misschien moet dit wel zo staan voor deze klant? Hoe kan een cloud leverancier dit bepalen? Het is aan de IT beheerders om hier de juiste acties op te doen. Amazon heeft hier helemaal niets mee te maken.
05-04-2019, 11:35 door Anoniem
Door Anoniem: Heel slecht van Amazon. Je zou zeggen dat ze dit zelf wel opgemerkt zouden hebben door even al hun interne ips te scannen op open directories, net zoals cloud providers dat doen voor open SMTP relays om spam te voorkomen.. Slapende ICT'er dus bij Amazon.

Een open relay is per definitie niet goed. Een open AWS bucket is heel goed mogelijk en onderdeel van de dienstverlening van een hoop bedrijven, b.v. voor het downloaden van brochures, te lezen papers bij studie-instellingen (alle documenten die ik bij een bepaalde online cursusaanbieder moet lezen staan op AWS) etc. Daarnaast:

Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn.

Amazon zorgt dus voor een secure by default instelling. Meer hoeven ze niet te doen. Dat niet alleen, ze lichten die onbenullen ook nog netjes in:

Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht.

Dat die lui vervolgens maandenlang een muur van stilte optrekken, de poort wagenwijd open laten, de ingebouwde security-maatregelen niet opnieuw afdwingen, goed huisvaderschap bij het grofvuil zetten en vervolgens overduidelijk maling hebben aan meerdere waarschuwingen, geeft aan dat bepaalde mensen binnen Cultura Collectiva een enorme schop onder hun kont verdienen. Totale minachting voor wat juist is, en een totale minachting voor de privacy van mensen. Laten we de schuld wel even bij de juiste mensen neerleggen. Amazon heeft gedaan wat het moest doen. Cultura Collectiva zou op een zwarte lijst gezet moeten worden, en zwaar moeten boeten voor dit wangedrag.
05-04-2019, 11:51 door Anoniem
De vaststelling dat er een heleboel IT beheerders zijn, die niet kunnen of mogen doen wat ze moeten.
Het is dan ook zeer gewenst eens tot in de finesses uit te zoeken hoe dat nou zoal komt.

Komt dat door de aansturende en dwingende werking van CEO, managers en staf, die gespeend van enige kennis om andere vigerende redenen dit van hen eisen? Komt het vanwege stille opgelegde regelgeving vanuit USA, wurgwetgeving?
Komt het doordat er niet voldoende competent en dumbed down personeel zich tussen de racks beweegt?

Dan komt dus de hamvraag, gebeurt het opzettelijk omdat het systeem zo ingericht moet zijn voor maximale profijt-realisatie?

De domheid van het gemeen betekent dan de gigantische rijkdom van de enkeling?

Of is er geen echte verklaring en is het zo houtje-touwtje opstapelend gegroeid,
nooit echt veilig geweest en nooit geworden of ook nooit meer echt veilig te maken?

Wie legt met dit eens uit. Ik zie bijvoorbeeld bij website beveiliging geen echte grote verbeteringen.
Af en toe een van boven opgelegd iets, zoals https everywhere acties, hsts preloading, 2FA, tokenizing, canvasfingerprint en scriptblokkering, maar niets echt aan de basis veranderen (weak PHP, retirable JQuery libraries, XSS-DOm sinks & sources, geen security headers gezet, excessive server info proliferatie met een shodannetje op de betreffende exploit als gevolg, en nog een hele litanie van zwakheden en uit te buiten bugs, code narigheid als niet goed escaped, predifined, niet de breedte van een array beseffen, gissen en gokken in plaats van weten, knippen en plakken van andermans ellende. Ik hou er maar over op voorlopig. Wie helpt me hier eens echt uit de droom en tilt vanuit haar of zijn ervaring een tipje van de sluier op?

Waarom kan Amazon blijven doen wat het doet. Waarom mag Facebook under gag order bij iedereeen uit data blijven wegslepen? Waar ligt de kern van het probleem?

luntrus
05-04-2019, 11:53 door Bitwiper
Ik ben slecht in Latijn, maar "Facebook" en "privégegevens" zijn toch een contradictio in terminis?
05-04-2019, 13:20 door Anoniem
Ha Bitwiper,

Hierin ben ik het volledig en nog eens volledig met je eens. + 1000.

Als men nu eens begon met Facebook, qua bedrijfsvoering, die al zoveel ellende heeft veroorzaakt in de wereld, echt aan te pakken met echte sancties die ze op andere gedachten moeten brengen, zodat ze het de volgende 100 jaar dat wel eens eventjes uit hun hersens zullen laten om nog verder in de fout te gaan, gaat er pas iets veranderen.

Als we daarbij dan ook niet echt tonen lak te hebben aan degenen, die ze in de VS achter de schermen steeds de handen boven het hoofd hebben gehouden en hun arrogante houding hebben aangewakkerd van mannetje M.Z. en zijn kompanen, dan kan er echt pas echt iets gaan gebeuren.

Dikke IT handhavingsmiddelvinger opsteken tegen deze sp**ks. Zowel zo'n vinger opsteken vanuit Europa als vanuit China en vanuit de andere BRICS landen. Nuff = Nuff en nu ophouden met jullie digitale globale terreur en overheersing, dan zal het gauw over zijn.

Ik denk echter dat er niets veranderen zal, behalve er te veel over klagen maar er niets fundamenteel aan willen doen. Bang voor een tanend Imperium, dat aan alle kanten al wankelt. De heersende arrogantie van de Anglo-Amerikaanse suprematie.

# sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.