Telefoonnummers Facebookgebruikers toegevoegd aan Have I Been Pwned
Gebruikers van Facebook die willen weten of ze slachtoffer zijn geworden van het vorige week onthulde datalek bij het platform kunnen nu ook gebruikmaken van datalekzoekmachine Have I Been Pwned (HIBP). De 533 miljoen telefoonnummers van deze gebruikers zijn namelijk toegevoegd aan HIBP. Het is voor het eerst dat de in 2013 gelanceerde zoekmachine het zoeken op telefoonnummers mogelijk maakt. Dat laat beveiligingsonderzoeker Troy Hunt weten, de de bedenker van HIBP.
Bij Facebook werden in 2019 de persoonsgegevens van 533 miljoen gebruikers gestolen. Het gaat om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, werkgever, relatiestatus en andere informatie. Van 2,5 miljoen gebruikers ging het ook om hun e-mailadres. Have I Been Pwned bevat e-mailadressen van accounts die onderdeel van een datalek zijn geweest. Gebruikers kunnen zo op hun e-mailadres zoeken en zien of ze slachtoffer van een bekend datalek zijn geworden.
Hunt besloot dit weekend al om de 2,5 miljoen e-mailadressen van het Facebooklek toe te voegen aan de zoekmachine. Het gaat hier echter om een klein deel van de in totaal 533 miljoen getroffen Facebookgebruikers. Nu meldt de onderzoeker dat ook de 533 miljoen gestolen telefoonnummers zijn toegevoegd. Oorspronkelijk was hij altijd tegen het toevoegen van telefoonnummers, omdat ze onder andere minder vaak voorkomen in datalekken dan e-mailadressen. Ook zijn ze lastiger uit te lezen en is er vaak geen sprake van een consistent formaat.
"De Facebookdata heeft dat allemaal veranderd", aldus Hunt. In dit geval bevat de gestolen en gelekte dataset juist telefoonnummers en slechts van een klein deel van de slachtoffers e-mailadressen. Gebruikers worden daardoor niet gewaarschuwd via Have I Been Pwned, terwijl ze wel slachtoffer zijn. Daarnaast zijn de telefoonnummers goed uit te lezen en zijn ze genormaliseerd in een consistent formaat. "Deze dataset heeft al mijn redenen om het niet te doen op zijn kop gezet", aldus de onderzoeker.
Een andere reden waarom Hunt de telefoonnummers toevoegt is dat er de afgelopen dagen verschillende HIBP-achtige websites zijn verschenen. Volgens de onderzoeker weet hij niet hoe betrouwbaar deze websites zijn. Gebruikers van de datalekzoekmachine die zich hiervoor aanmelden kunnen worden gewaarschuwd wanneer hun e-mailadres in een datalek voorkomt. Dat zal voorlopig niet mogelijk zijn bij telefoonnummers. Hunt is ook niet van plan om telefoonnummers van andere datalekken doorzoekbaar te maken, tenzij er van een soortgelijk datalek sprake is als nu bij Facebook.
Vanwege het grote aantal telefoonnummers dat moet worden toegevoegd kan het nog een aantal uur duren voordat er daadwerkelijk gezocht kan worden. Op het moment van schrijven zijn alle telefoonnummers toegevoegd waarvan het landnummer begint met 4, 6, 8 en 9.
Troy heeft al een keer op het punt gestaan deze te verkopen en ik voorspel dat er dat nog wel een keer van gaat komen.
- Nostradamus -
In dit geval komt er altijd de groep die vindt dat dit juist crimineel gedrag is. Valt iets voor te zeggen, alleen zijn die gegevens al semi publiek beschikbaar. Zeker voor de mensen / groepen met slechte intenties. Hiermee toegankelijk op een manier waarop de gemiddelde gebruiker deze kan nazoeken.
Op dit moment doet hij iets positiefs met grijze informatie. Er is een kans dat hij daar ooit geld mee gaat verdienen. Dan wordt het allemaal iets dubieuzer. Maar tot dan helpt het de getroffen gebruikers en om het probleem van dit soort datalekken duidelijk te maken.
Ben benieuwd of de klagers zelf zo brandschoon en perfect zijn.
Troy heeft al een keer op het punt gestaan deze te verkopen en ik voorspel dat er dat nog wel een keer van gaat komen.
- Nostradamus -
Dat denk ik ook. Facebook en andere datagraaiers zullen vast een aantrekkelijk bod doen in de toekomst, zodra die database voor hun gevoel groot genoeg is.
Echter, verkopen van gestolen data, valt dat niet onder heling volgens de (Nederlandse) wet?
In dit geval komt er altijd de groep die vindt dat dit juist crimineel gedrag is. Valt iets voor te zeggen, alleen zijn die gegevens al semi publiek beschikbaar.
Er zijn in het verleden talloze file shares verboden omdat deze gestolen data/films/muziek hosten, wat maakt HIBP anders?
Hij (Troy) host gestolen data, niks meer en niks minder.
Lekker ook om te e-mail adressen van bekenden op te zoeken en te constateren dat deze gelekt is via youporn.com of gays4gays.cum
Lekker ook om te e-mail adressen van bekenden op te zoeken en te constateren dat deze gelekt is via youporn.com of gays4gays.cum
HIBP toont bij een e-mailadres het aantal datalekken waar het in voorkomt, maar niet welke. (Tenzij je de houder van het betreffende e-mailadres, of de domeinnaam, bent. Als houder kun je wel opvragen in welke datalekken het e-mailadres voorkomt.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
