De wereldwijde Facebook-, Instagram- en WhatsApp-storing van gisteren hield de gemoederen flink bezig. En of je nu last had van ontwenningsverschijnselen of dat je het allemaal wel prima vond (of überhaupt niks hebt gemerkt), er is nóg wat Facebook-gerelateerd nieuws dat de moeite van het vermelden waard is. Op een populair hackersforum claimt iemand over persoonsgegevens van maar liefst anderhalf miljard Facebook-gebruikers te beschikken, waaronder namen, e-mailadressen en telefoonnummers. Deze dataset wordt dan ook te koop aangeboden. Maar klopt dat verhaal wel? En wat moet je verder zoal weten?

Voordat we deze vraag beantwoorden, is het belangrijk om even toe te lichten waarom 'datalek' in de titel tussen aanhalingstekens staat. Van een écht datalek – waarbij hackers zich op ongeautoriseerde wijze toegang hebben weten te verschaffen tot de interne systemen – lijkt namelijk geen sprake te zijn.

Hoe zit het dan wel? De aangeboden gegevens zouden zijn verzameld met behulp van een techniek die bekend staat als 'scraping', kort gezegd het op geautomatiseerde wijze binnentrekken en bundelen van openbaar beschikbare gegevens. Althans, dat meldt cybersecurity-onderzoeker Miklos Zoltan, tevens oprichter van Privacy Affairs.

Opvallend is verder het genoemde aantal: het zou gaan om gegevens van anderhalf miljard gebruikers. Daarmee zou deze dataset bijna drie keer zo groot zijn als de Facebook-dataset die begin april op hetzelfde hackersforum verscheen. Deze set bevatte gegevens van ruim 500 miljoen personen, al met al toch ook geen gering aantal.

Als de informatie klopt, zou het bovendien gaan om de grootste datadump met gebruikersgegevens waar Facebook ooit mee te maken heeft gehad. En gebundelde, persoonlijke informatie van zo'n enorm aantal gebruikers is wel degelijk interessant voor kwaadwillenden: het maakt het uitvoeren van gerichte pogingen tot phishing namelijk een stuk eenvoudiger.

update
clockOval 6 06-10-2021

Facebook stelt onderzoek in

Facebook heeft een onderzoek ingesteld naar de betreffende forumpost, aldus Security.nl. Daarbij wordt geciteerd uit een artikel van The New York Times (betaal- of in ieder geval inlogmuur), waarin een woordvoerder het volgende stelt: 'We onderzoeken deze claim en hebben een takedown request naar het forum gestuurd dat de vermeende data adverteert'.

 

Dat laatste verklaart vermoedelijk ook waarom de oorspronkelijke url van het forum doorverwijst naar een zogenaamde 'mirror', een min of meer identieke kopie van de originele website die elders wordt gehost en via een andere domeinnaam te benaderen valt.

 

The New York Times trekt overigens dezelfde conclusie, namelijk dat het lang niet zeker is of de betreffende gebruiker écht over gegevens van 1,5 miljard personen beschikt.

Geen verband met wereldwijde Facebook-storing

Daarnaast is het goed om te weten dat er geen verband is tussen de wereldwijde storing van dinsdag 4 oktober waardoor Facebook, WhatsApp en Instagram urenlang onbereikbaar waren. Her en der leidt het namelijk al tot de nodige speculaties: een klokkenluider met onthullende informatie over Facebook (via NOS.nl), de urenlange storing, de 'hackaanval' en het 'datalek', het zou allemaal met elkaar verbonden zijn. 

Eerlijk is eerlijk, het ligt gezien de timing best voor de hand om een verband tussen deze gebeurtenissen te zien, maar nee, daar is in dit geval geen sprake van. Deze dataset werd namelijk al op 22 september aangeboden op het betreffende hackersforum.

En over dat hackersforum doen de wildste verhalen de ronde. Zo meldt RT.com (onderdeel van het RT-netwerk, een Russisch, door de staat gecontroleerd internationaal televisienetwerk dat gefinancierd wordt door de Russische regering) in een Engelstalig artikel dat de boel op het 'dark web' wordt aangeboden, en ook op Twitter wordt driftig gespeculeerd.

Toch is het allemaal iets genuanceerder dan dat. De oorsprong van deze speculatie lijkt te liggen in de hashtag #DarkWeb die Privacy Affairs op Twitter heeft gebruikt, en die hashtag is vermoedelijk gebruikt om het artikel op Twitter onder de aandacht te brengen:

Bij de term 'dark web' denken mensen wellicht meteen aan geheime, schimmige en zelfs strafbare zaken, en ook het stereotype van de hacker in de capuchontrui die in een slecht verlichte bunker naar allemaal beeldschermen zit te turen terwijl de energydrink vloeit als water doemt wellicht op. Is daar in dit geval ook sprake van?

Dataset aangeboden op populair hackersforum

Kort gezegd, nee. Het is allemaal aanzienlijk minder spectaculair dan dat. Het dark web is onderdeel van het zogenaamde 'deep web', en dat is simpelweg het onderdeel van het internet dat niet door zoekmachines is geïndexeerd. Dat hoeft overigens lang niet altijd te gaan om strafbare of schimmige zaken, maar kan ook informatie betreffen waarvoor simpelweg geldt dat het wenselijk is dat niet iedereen er zomaar toegang toe heeft.

Denk dan aan bedrijfsinformatie van je werkgever, om een voorbeeld te noemen. Als jij de exacte url hebt naar een bepaald document dat online staat op een domein van je werkgever (en je in voorkomende gevallen ook over de juiste autorisatie beschikt om dat document te kunnen raadplegen), kun je er moeiteloos bij, maar via een zoekmachine zul je deze informatie niet vinden.

We houden het even simpel, maar voor websites op het dark web geldt dat je vaak over speciale software moet beschikken om op een bepaalde website te kunnen komen, hetgeen overigens regelmatig gepaard gaat met een uitnodiging of een autorisatie om zodoende specifieke sites daadwerkelijk te kunnen bezoeken.

En dat is hier niet het geval. Wie de naam van dit hackersforum even intoetst op Google, heeft het betreffende forum letterlijk binnen drie seconden op zijn scherm staan. Mensen met een bovengemiddelde interesse in cybersecurity-achtige onderwerpen zullen het forum vast en zeker al kennen, en degenen die er niet van op de hoogte zijn, zullen we maar niet op slechte ideeën brengen. 

Om die reden beperken we ons tot het delen van wat screenshots van de betreffende post, die we voor de gelegenheid maar even hebben geleend van Privacy Affairs:

Gegevens van 1,5 miljard Facebook-gebruikers worden aangeboden

Om welke gebruikersgegevens gaat het precies?

Het zou gaan om de volgende gegevens:

  • Je naam
  • Je e-mailadres
  • Je locatie
  • Je geslacht
  • Je telefoonnummer
  • Je 'user ID' oftewel je persoonlijke Facebook-accountnaam of -nummer

De gegevens in de dataset zouden bovendien nieuw (en dus behoorlijk up-to-date) zijn. Het gaat hier niet zozeer om een écht datalek, maar om gebundelde gegevens die door middel van 'scraping' zijn verzameld. De dataset maakt het uitvoeren van gerichte phishingaanvallen een stuk makkelijker, want gepersonaliseerde phishingmails en sms-berichten met daarin correcte persoonsgegevens zijn een stuk betrouwbaarder. 

Volgens Privacy Affairs lijkt de informatie uit de set in eerste instantie te kloppen, maar ze baseren zich daarbij op de gegevens uit een beschikbaar gestelde 'sample', oftewel proefmonster. Deze zou door een forumgebruiker zijn aangeschaft en zou vervolgens zijn geverifieerd.

Zo'n sample beschikbaar stellen is overigens een vaak gebruikte methode om de authenticiteit van gegevens mee aan te tonen: er wordt een klein gedeelte beschikbaar gesteld, en als de informatie bevalt, kun je de volledige set kopen voor een aanzienlijk hoger bedrag. De sample zelf is soms gratis, in andere gevallen moet je ook een bedrag betalen om een proefmonster te ontvangen, het is allemaal afhankelijk van de exacte aard van de gegevens.

Ook zouden de gegevens niet overlappen met gegevens van Facebook-gebruikers die via eerdere 'gelekte' of verkochte datasets op straat zijn beland, waardoor in theorie anderhalf miljard mensen extra kwetsbaar worden voor toekomstige phishingpogingen en andere oplichtingstrucs. Foute boel, als het allemaal klopt.

Of is er sprake van oplichting?

Maar of de aangeboden informatie klopt, daar zijn nou net de nodige twijfels over. Er is namelijk een 'maar'. Meerdere gebruikers van het hackersforum melden dat ze zijn opgelicht, wat weer zorgt voor de nodige scepsis omtrent de authenticiteit van de aangeboden gegevens.

Eén gebruiker geeft aan dat er duizend dollar aan bitcoin – overigens een betaling voor een andere dataset van dezelfde verkoper – in rook is opgegaan: na betaling bleef het angstvallig stil en was ook de beloofde lijst met tien miljoen e-mailadressen in geen velden of wegen te bespeuren. Een andere gebruiker meldt al drie maanden te wachten op een terugbetaling, maar de verkoper is vooralsnog niet over de brug gekomen.

Weer een andere gebruiker geeft aan dat hij weken aan het lijntje is gehouden met allerlei excuses, voordat het contact volledig stilviel. Ook deze gebruiker heeft de beloofde gegevens uiteindelijk nooit gehad.

Er wordt dan ook gespeculeerd over een zogenaamde 'exit-scam': gauw even flink binnenlopen door niet-bestaande gegevens aan te bieden en er vandoor te gaan met het geld. In deze wereld is betaling in bitcoin gebruikelijk, en omdat het één en ander op basis van anonimiteit geschiedt, wordt het een buitengewoon lastig verhaal om betalingen te herleiden naar specifieke personen. 

Je melden bij de politie wordt overigens ook een verhaal apart. 'Beste agent, ik wilde gegevens van anderhalf miljard Facebook-gebruikers kopen op een hackersforum en toen ben ik opgelicht', dat verhaal zal ongetwijfeld de nodige wenkbrauwen doen fronsen.

Het behoeft dan ook geen nadere toelichting dat wij de proef zelf ook maar niet op de som hebben genomen. We weten dus niet of het allemaal klopt, we kunnen alleen constateren dat de gegevens op een populair hackersforum worden aangeboden én dat er gezien de timing wat onrust en ophef over is ontstaan op sociale media en via verschillende nieuwskanalen.

Waar kun je verder op letten?

Of het verhaal nu klopt of niet, het is altijd slim om e-mails en sms'jes extra kritisch te bekijken, ook al wordt er in deze berichten correcte (persoons)informatie genoemd en lijken ze écht afkomstig van bepaalde bedrijven of instanties. 

Het kan daarnaast raadzaam zijn om je profiel zo goed als mogelijk af te schermen. Dat doe je door alle relevante informatie op privé te zetten of om het alleen te delen met mensen uit je vriendenlijst. Zo kunnen wildvreemden niet zomaar informatie achterhalen, en dat is in het geval van 'scraping' relevant: als jij bepaalde informatie niet openbaar hebt staan, valt er immers niks te scrapen en belanden jouw gegevens niet zomaar in een dergelijke dataset, ook al is in dit geval de authenticiteit van de gegevens niet geverifieerd.

Ook slim: nooit overal hetzelfde wachtwoord gebruiken en tweestapsverificatie inschakelen waar nodig.

Bron: Privacy Affairs