Opnieuw datalek bij Facebook
Facebook heeft na een reeks van schandalen in de afgelopen jaren opnieuw een datalek. Deze keer is er een database gevonden, met daarin honderden miljoenen telefoonnummers van gebruikers. De server waar de database op stond was niet met een wachtwoord beschermd, waardoor iedereen de gegevens kon vinden en in kon zien.
© CC0 Pixabay
CC0 Pixabay
De database - die overigens niet van Facebook zelf is - werd online gevonden en bevat maar liefst 419 miljoen gegevens van gebruikers uit diverse landen. 133 miljoen gegevens zijn van Amerikaanse gebruikers, 18 miljoen van Britse gebruikers en ruim 50 miljoen van mensen uit Vietnam. Of er ook gegevens van Nederlanders bij zitten, is nog onduidelijk.
Specifiek gaat het om telefoonnummers van mensen die gelinkt waren aan hun Facebook-accounts. Ieder record in de database bevatte het unieke Facebook ID van een gebruiker, evenals het bijbehorende telefoonnummer, schrijft TechCrunch. Facebook ID's zijn gemakkelijk op te zoeken. Dat zijn lange, unieke en openbare nummers die geassocieerd zijn met het account van een gebruiker. Bij een aantal gebruikers stond ook de naam, het geslacht en het land waar diegene vandaan komt vermeld.
TechCrunch verifieerde een aantal van de gegevens in de database, door een bekend telefoonnummer van een gebruiker te koppelen aan zijn Facebook ID. De telefoonnummers komen ook overeen met degene die gekoppeld zijn aan de hersteloptie voor wachtwoorden. Daarmee wordt een deel van het telefoonnummer dat een gebruiker aan zijn account gekoppeld heeft, zichtbaar gemaakt.
Waar komt de data vandaan?
Jay Nancarrow, woordvoerder van Facebook, verklaart dat de data van Facebook is gehaald voordat de toegang tot telefoonnummers van gebruikers beperkt werd. Dat gebeurde ruim een jaar geleden. Sindsdien is het bijvoorbeeld niet meer mogelijk om gebruikers te vinden aan de hand van hun telefoonnummer.
"De dataset is offline gehaald en we hebben geen bewijs gezien dat er Facebook-accounts gecompromitteerd zijn", aldus de woordvoerder. Volgens TechCrunch werden de data eind vorige maand in de database gezet, al betekent dat niet dat de gegevens nieuw zijn. De vraag is wie de data precies verzameld heeft en waarom dat is gedaan.
Die vragen kunnen vooralsnog niet beantwoord worden. Beveiligingsonderzoeker Sanyam Jain vond de database online, maar kon de eigenaar niet opsporen. Hij is ook degene die TechCrunch tipte over de database. De Amerikaanse website deed een eigen poging om de eigenaar te vinden, maar wist hier niet in te slagen. Wel is er contact opgenomen met de webhost van de database. Na dat contact werd de database offline gehaald.
Wat zijn de gevolgen?
De gelekte data kunnen grote gevolgen geven. Hackers kunnen met de gestolen data spam-telefoontjes plegen, maar ook sim-swapping uitvoeren. Bij sim-swapping gebruikt een aanvaller het telefoonnummer van een gebruiker om toegang te krijgen tot zijn online accounts. Denk bijvoorbeeld aan e-mail, social media en betaaldiensten.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee