Privacy
48 miljoen profielen samengesteld en niet beveiligd

48 miljoen profielen samengesteld en uitgelekt

Een bestand met de samengestelde profielen van 48 miljoen mensen stond onbeveiligd in de cloud.

© CC0 - Pixabay geralt
19 april 2018

Een bestand met de samengestelde profielen van 48 miljoen mensen stond onbeveiligd in de cloud.

In een publiek toegankelijk bestand heeft een beveiliger profielen van 48 miljoen gebruikers gevonden. Deze waren door een databedrijf samengesteld uit de informatie die mensen over zichzelf prijsgeven aan sites als Facebook, Twitter en LinkedIn.

Een beveiliger van UpGuard vond het bestand, dat weliswaar niet geïndexeerd was maar ook niet beveiligd, in een Amazon Web Services S3 bucket. Het gecomprimeerde bestand van 151,3 GB bleek uitgepakt te bestaan uit 1,2 TB aan namen, adressen, geboortedata, werkgevers en andere persoonlijke informatie die mensen op hun publieke profielen hebben staan.

Privacylast

De metadata van de uitgelekte bestanden wezen uit dat de samengestelde data afkomstig waren van LocalBlox, een bedrijf dat zich specialiseert in het profileren van mensen. Anders dan de data die Cambridge Analytica heeft geoogst bij Facebook, gaat het hier alleen om de gegevens die mensen zelf hebben ingevuld. Maar ook anders is dat de profielinformatie van allerlei verschillende sites en bijvoorbeeld LinkedIn-geschiedenis is gecombineerd om een zo nauwkeurig mogelijk beeld van individuen te schetsen.

Deze praktijk van datacombinatie en daarmee verrijking zal niet verbazen. Het feit dat de gegevens publiek toegankelijk waren vestigt weer even de aandacht op hoe slordig mensen zelf met hun privacy omspringen. Dit soort gegevens zijn niet alleen nuttig voor het soort advertentiecampagnes die de Brexit of Trumps verkiezing tot president mogelijk hebben gemaakt. Geoogste gegevens en slimme combinatie daarvan helpen kwaadwillenden ook bij identiteitsfraude en phishing-opzetjes.

'Niet de bedoeling'

Uit de gevonden data blijkt ook hoe ze zijn verzameld: niet alleen door gebruik te maken van de geëigende Facebook-API's en verwante technieken die ervoor bedoeld zijn, maar ook door de websites te 'scrapen'. Er zijn bots gebruikt om de informatie te extraheren. Facebook, Twitter en LinkedIn benadrukken in reacties dat dat expliciet verboden is in hun gebruikersvoorwaarden. LinkedIn voert er een rechtszaak over tegen het profileringsbedrijf HiQ; Facebook heeft zijn zoekfunctie aangepast en is met 'zelfonderzoek' bezig om te analyseren welke partijen er persoonlijke informatie hebben onttrokken aan de database van 's werelds grootste social network.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.