Opgelicht?! opgelicht-logo

meer NPO start
Opgelicht?!
  • Weer datalek bij Facebook? Tool koppelt afgeschermde mailadressen in profielen aan unieke accounts

    Weer datalek bij Facebook? Tool koppelt afgeschermde mailadressen in profielen aan unieke accounts

    Wil jij op Facebook niet gevonden kunnen worden aan de hand van je e-mailadres? Dan kun je deze informatie afschermen. Er is echter een tool opgedoken waarmee gebruikers automatisch kunnen natrekken welk Facebookaccount bij welk e-mailadres hoort, óók als je er als gebruiker voor hebt gekozen om je mailadres niet te openbaren. Een gebruiker kan met deze tool bovendien tot wel vijf miljoen mailadressen per dag natrekken, wat het interessant maakt voor hackers en andere kwaadwillenden. De timing is bovendien ongunstig voor de techgigant, slechts enkele weken nadat het datalek met gegevens van 500 miljoen Facebook-accounts in het nieuws kwam.

    Techwebsite Ars Technica maakt melding van de tool, die bekend staat onder de naam Facebook Email Search v1.0

    Er circuleert een video van een anonieme onderzoeker die de werking van de tool demonstreert. Naar eigen zeggen is hij met de informatie naar buiten gekomen nadat hij van Facebook te horen had gekregen 'dat de kwetsbaarheid niet belangrijk genoeg was om te verhelpen'. Daarop zou diegene bij wijze van experiment een lijst met 65.000 mailadressen door de tool hebben getrokken om te kijken wat de uitkomst is.

    De tool is in staat om te tonen hoeveel van de ingevoerde mailadressen daadwerkelijk te herleiden zijn naar een Facebookprofiel, en om dat te bewijzen heeft degene die het lek demonstreert er gegevens van circa 200-250 'eigen' (gekochte) Facebook-accounts in gezet.

    Te zien valt dat verreweg de meeste ingevoerde e-mailadressen daadwerkelijk resultaat opleveren, ook als in de instellingen op Facebook is aangegeven dat het e-mailadres privé moet blijven.

    Schermafbeeldingen uit de demonstratie van de tool
    Arstechnica.com
    Schermafbeelding uit de demonstratie van de tool

    De volledige video waarin de tool wordt gedemonstreerd is in bezit van Ars Technica, maar is door dat medium bewust niet gedeeld om kwaadwillenden niet op ideeën te brengen.

    Een klein fragmentje van een demonstratie van dezelfde tool staat echter op YouTube, en daarop zien we al snel dat gebruikers in een handomdraai een uitdraai op hun scherm zien die bestaat uit je unieke Facebook ID, de naam die bij het Facebookprofiel hoort én het corresponderende e-mailadres:

    Ook de identiteit van de onderzoeker is door Ars Technica niet openbaar gemaakt: of we te maken hebben met een serieuze beveiligingsexpert of met een hacker die een beetje aan het spelen was en op een zeker ogenblik dacht 'eigenlijk moeten mensen dit wel weten', is dan ook niet duidelijk. Wel zijn meerdere hackers al van het tooltje op de hoogte.

    Wat zijn de risico's?

    Volgens de anonieme tipgever die door Ars Technica wordt opgevoerd, wordt de functionaliteit momenteel gebruikt om 'Facebookaccounts te hacken om zo het beheer over pagina's en groepen over te nemen' en om 'accounts van adverteerders over te nemen voor financieel gewin'.

    Hoe dat precies werkt, blijft overigens een raadsel. Als iemand met behulp van deze tool een e-mailadres aan een Facebook-account weet te koppelen terwijl degene wiens account het is heeft aangegeven dat het mailadres privé moet blijven, is dat alsnog niet voldoende om direct in te kunnen breken op het betreffende account. Dit lijkt ons eerlijk gezegd dan ook niet direct een heel reëel dreigement.

    Een eventueel risico is daarentegen wel dat kwaadwillenden tóch bepaalde informatie van jouw Facebookprofiel weten te halen nadat ze je hebben gevonden door op je mailadres te zoeken, ook al dacht je safe te zijn door bijvoorbeeld een schuilnaam te gebruiken.

    Dat is echter afhankelijk van de privacy-instellingen die je op je profiel hebt ingesteld. Zolang daar geen concrete of compromitterende informatie openbaar op gedeeld wordt, blijft dat risico redelijk beperkt: welke informatie je deelt, heb je voor een groot deel zelf in de hand. Het is in dat opzicht dan ook een goed idee om je bij alles wat je plaatst af te vragen of het écht noodzakelijk is dat het online staat.

    Een ander risico is dat de koppeling tussen e-mailadres en Facebookprofiel je in potentie kwetsbaarder maakt voor overtuigende vormen van phishing en andere vormen van oplichting, zeker als deze gegevens worden gecombineerd met gegevens die al eerder op straat zijn komen te liggen. Hoe meer persoonlijke informatie kwaadwillenden van je weten, hoe overtuigender ze te werk kunnen gaan.

    Lees ook:

    Facebook in interne mail: 'Datalek ontstaan door scraping moeten we framen als normaal'

    De timing is voor Facebook wel ongelukkig, enkele weken na het grote nieuws over de gelekte data van 500 miljoen gebruikers. Deze data is weliswaar buitgemaakt door een techniek die bekend staat als 'scraping' (het geautomatiseerd binnentrekken en bundelen van openbare informatie), maar de data is - niet in de laatste plaats vanwege de enorme omvang - juist in gebundelde vorm erg waardevol voor kwaadwillenden.

    Facebook blijkt er bovendien op aan te sturen dat dergelijke incidenten moeten worden afgedaan als iets normaals: 'Op langere termijn moeten we dit framen als een sectorprobleem en normaliseren dat dit gebeurt', staat in een interne mail die het Belgische Data News wist in te zien.

    Daarmee lijkt het bedrijf zich aan de eigen verantwoordelijkheid te willen onttrekken, en niet voor het eerst. In 2017 meldde een tipgever iets vergelijkbaars met betrekking tot telefoonnummers, maar werd het probleem pas jaren later verholpen. Facebook zei slechts 'Het gaat hier om oude gegevens waarover in 2019 al werd gerapporteerd. We hebben het probleem in augustus 2019 ontdekt en verholpen.' 

    Het voornaamste punt van kritiek op dit lek is dan ook niet zozeer de ernst of het feit dat het leidt tot een acuut gevaar, maar lijkt vooral te gaan over de lakse, achteloze houding die Facebook wel vaker laat zien in het geval er beveiligingsissues aan de kaak worden gesteld. In de woorden van Data News: 'Facebook heeft een reputatie van securityproblemen pas op te lossen als ze een imagoprobleem vormen.'

    Bron: Ars Technica / Data News

    Updates ontvangen over dit onderwerp?

    Wil je op de hoogte blijven van dit onderwerp? Download de gratis Opgelicht-app en volg het onderwerp.

  • Ook interessant