Facebook gaat notificaties naar slachtoffers van staatshackers sturen

Facebook gaat notificaties sturen naar gebruikers van wie het account mogelijk wordt aangevallen of gecompromitteerd is door hackers die opereren in opdracht van een overheid. Dat maakt Alex Stamos, hoofd beveiliging van Facebook, bekend.

In een notitie op de Facebook Security-pagina toont Stamos de melding die gebruikers te zien krijgen als ze mogelijk onder vuur liggen van staatshackers. De notificatie roept op tot het inschakelen van 'Login Approvals', de tweetraps-authenticatie van Facebook, zodat bij iedere nieuwe inlogpoging een beveiligingscode moet worden ingevoerd.

Facebook notificatie staatshackers

Stamos schrijft dat Facebook altijd maatregelen neemt zodra een account gehackt is, maar heeft besloten om een extra waarschuwing te tonen als er een sterke verdenking is dat de aanval afkomstig is van hackers die opereren in opdracht van een overheid of staat. Dergelijke aanvallen zijn volgens het sociale netwerk gevaarlijker en geavanceerder dan gebruikelijk.

In het bericht wordt benadrukt dat de waarschuwing niets te maken heeft met een aanval op de systemen van Facebook zelf. Gebruikers die slachtoffer worden, zouden dat te danken hebben aan malware op hun computer of mobiele apparaat. Mensen die de waarschuwing te zien krijgen, moeten dan ook maatregelen nemen en eventueel hun systeem vervangen, aldus Stamos.

Facebook zegt niet hoe het de aanvallen kan herleiden naar staatshackers. Ook is het niet duidelijk of er een specifieke aanleiding is voor het tonen van de nieuwe waarschuwing. Het sociale netwerk belooft de notificatie alleen in te zetten als er sterke bewijzen zijn die de verdenking van Facebook ondersteunen.

Reacties (84)

azerty

19 oktober 2015 11:01

Natuurlijk met uitzondering van aanvallen door de NSA

Ram-G-maN

@azerty • 19 oktober 2015 11:10

Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.

Verwijderd @Ram-G-maN • 19 oktober 2015 11:23

Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.

Inderdaad. Ik vroeg mij tijdens het lezen van het artikel af: wat voor baat heeft Facebook hier nou bij? Het niet niet zo dat ze hoognodig hun imago moeten oppoetsen. Zo'n tool waarmee notificaties worden gestuurd naar slachtoffers van staatshackers kost geld, maar levert niets op. Althans, zo denkt een manager. Volgens jouw logica levert deze tool juist veel op, want een gebruiker die kiest voor telefoonnummer afstaan of Trojaans paard installeren brengt linksom of rechtsom geld in het laadje. Scherp opgemerkt

pwghost @Verwijderd • 19 oktober 2015 11:54

Whatsapp <-> telefoonnummer <-> facebook ?

Misschien om alles te gaan koppelen bij mensen die nog geen nummer hebben ingevuld ?

Verwijderd @pwghost • 19 oktober 2015 12:07

Whatsapp <-> telefoonnummer <-> facebook ?

Misschien om alles te gaan koppelen bij mensen die nog geen nummer hebben ingevuld ?

Vraag aan jouw manager om een dergelijke tool te bouwen; een tool die dingen kan koppelen zodat je meer overzicht hebt, maar het levert geen geld op. Denk je dat je manager ermee akkoord zal gaan?

kozue

Facebook

@Verwijderd • 19 oktober 2015 19:40

Tools die gegevens koppelen leveren altijd wat op. Als het niet direct geld opleverd, dan misschien meer gebruiksgemak (van de gegevens), oftewel een besparing in operationele kosten.

Ik bouw zelf dagelijks tools die gegevens verwerken en de meeste leveren niet direct geld op. Wel kunnen we nu op z'n minst het dubbele werk aan met dezelfde hoeveelheid werknemers.

In het geval van facebook is het nog erger: hun core business is privacy schenden door profielen op te bouwen. Hoe meer profielen en gekoppelde gegevens, hoe meer het bedrijf waard wordt.

Verwijderd @kozue • 19 oktober 2015 21:39

In het geval van facebook is het nog erger: hun core business is privacy schenden door profielen op te bouwen. Hoe meer profielen en gekoppelde gegevens, hoe meer het bedrijf waard wordt.

Er zijn meer bedrijven die Facebook's voorbeeld volgen. Lees hier hoe Barbiepopjes tegenwoordig een internetverbinding eisen zodat ze interactief met kinderen kunnen praten. Ze kunnen dan dingen onthouden "via het internet" en dan op een later tijdstip herhalen. We leven in een wereld waarin toiletpotten praten met koelkasten: "zeg, hoeveel potten pindakaas heb je op voorraad? Die van de Lidl was niet zo'n succes". Etc. Het houdt niet op bij Facebook. Ik ben toch niet gek?? Zeg jij het maar.

kozue

Facebook

@Verwijderd • 19 oktober 2015 22:25

Gewoon geen apparaten of speeltjes met internetverbinding kopen. Spreek met je portemonnee, dan leren ze het wel af.
Ik moet zelf ook niks hebben van al die "smart" apparaten. Het is totaal niet nodig dat een TV, thermostaat of koelkast het internet op kan en allemaal informatie over jouw doen en laten naar clouddiensten upload. Als ik het internet op wil gebruik ik daarvoor wel een ding dat ik zelf onder controle heb, zoals m'n linux desktop.

Verwijderd @kozue • 19 oktober 2015 22:47

Gewoon geen apparaten of speeltjes met internetverbinding kopen. Spreek met je portemonnee, dan leren ze het wel af.

Ik was laatst bij zo'n winkel, een semi-kloon van BCC / Expert of zo. Ik vroeg aan de verkoper of hij nog TV's had zonder WiFi. Daar was nog maar 1 model van over, de rest had allemaal WiFi. Als dat model er niet meer staat in de winkel (metafisch gezien), hoe ga jij dan spreken met je portemonnee? Jij kunt toch niet van de verkoper eisen dat hij een TV bestelt zonder WiFi, speciaal voor jou?
Enfin, ik denk dat mensen zoals jij en ik behoren tot een uitstervend ras. Ik wil helemaal niet dat mijn stoel verbinding heeft met internet, zodat ik over een uur de gyneacoloog aan de deur heb die mij komt vertellen dat ik zwanger ben.

mae-t.net @Verwijderd • 20 oktober 2015 01:50

Een TV mag best wifi hebben, sterker nog de toestellen zonder zijn of budgetmodellen of modellen van 3 jaar geleden. Je hoeft echter de key van je wifi niet in de TV in te voeren, en met een beetje geluk kun je het zelfs helemaal uitschakelen zodat hij ook niet onnodig staat te proberen. De normale functionaliteit is doorgaans niet afhankelijk van de wifiverbinding.

Verwijderd @mae-t.net • 20 oktober 2015 07:56

Je hoeft echter de key van je wifi niet in de TV in te voeren

Lees dit. Dat gebeurt er wanneer je WiFi alleen maar aan staat. Je opmerking klinkt heel logisch: als je de WiFi-key niet invoert, is er niets aan de hand. Zo werken kwaadwillenden niet. De technologische ontwikkelingen gaan zo snel dat jij niet kunt voorspellen of morgen iemand een nieuwe manier heeft gevonden om WiFi te kraken. Trouwens, wat er in de link staat is dat er een malafide access point wordt neergezet, waardoor apparaten van nietsvermoedenden verbinding ermee maken. Mijn hele punt is: zolang er WiFi in zit, heb ik een soort eigen verantwoordelijkheid om mij daarin te verdiepen, om bij te houden "heb ik alles gedaan om te voorkomen dat ik gehackt word? Oh, mijn zoontje heeft de TV gereset zonder te zeggen, dus nu moet ik de instellingen weer controleren. Heb ik de laatste updates geinstalleerd?" etc. Op die manier blijf ik bezig. Als ik geen internetverbinding heb, dan hoef ik ook geen security updates te installeren. Zolang er geen WiFi is, heb ik alles 100% in de hand. Als er WiFi op zit, is het een kwestie van security updates installeren en wachten tot er iets mis gaat. Tien jaar geleden werd ik ook voor gek verklaard als ik tegen mensen zei dat hun WiFi onbeveiligd is. Maar als criminelen kinderporno gaan downloaden via jouw WiFi, dan pas komt de schrik. De beste manier om WiFi te beveiligen is om geen WiFi te hebben.

en met een beetje geluk kun je het zelfs helemaal uitschakelen zodat hij ook niet onnodig staat te proberen.

Dat bedoel ik: met een beetje geluk.

De normale functionaliteit is doorgaans niet afhankelijk van de wifiverbinding.

Waarom zou een fabrikant een TV maken waarvan de normale functionaliteit afhankelijk is van een WiFi-verbinding?

mae-t.net @Verwijderd • 20 oktober 2015 14:05

Prijsgeven door contact met openbaar netwerk: de schade valt nog mee, je mobieltje heb je meestal op zak maar je tv blijft vaak zijn hele leven staan waar hij stond.

Net een beetje geluk: oftewel kan het nut hebben hier een overzicht van te maken en te publiceren. Iets voor in de reviews bij tweakers, en tests bij de consumentenbond. Ik ben het absoluut met je eens dat het wenselijk is om dit echt uit te kunnen zetten.

En waarom een fabrikant functionaliteit afhankelijk zou maken? Niet. En dat verzacht de pijn dan weer een beetje..

[Reactie gewijzigd door mae-t.net op 22 juli 2024 16:26]

Iblies

Facebook

@pwghost • 19 oktober 2015 12:08

Whatsapp is altijd zo beleefd om een kopie van je adressenboekje je maken.

Het is geen hogere wiskunde om te achterhalen wie welk telefoonnummer heeft.

mae-t.net @Iblies • 20 oktober 2015 01:51

Behalve dat Whatsapp heeft beloofd dat niet met Facebook te delen. Vroeg of laat zou dat alsnog kunnen gebeuren natuurlijk, maar op dit moment realiseert Facebook zich waarschijnlijk dat de wereld dan opeens te klein is.

Verwijderd @Verwijderd • 19 oktober 2015 12:01

Het is ook een waarschijnlijk ook actie om hackpogingen van bijvoorbeeld China op Rusland op onderdanen te frustreren. Ze hebben natuurlijk graag dat inwoners uit die landen vertrouwen dat Facebook hun data uit handen houdt van die overheden en door die mensen te waarschuwen als hun account wordt aangevallen kunnen inwoners van die landen kiezen om hun account beter beschermen

modelmark @Verwijderd • 19 oktober 2015 12:54

Right het gaat alleen om landen als China en Rusland. Wij hebben hier natuurlijk niets te vrezen. Ook hier smijt de overheid echter haar onderdanen onder voorarrest zonder veroordeling hun gevangenis in.
Het is belangrijk om de statistieken in de gaten te houden. In de 20ste eeuw vermoordden overheden wereldwijd 262 miljoen van hun eigen onderdanen. Dat heet democide. De overheid is een groep mensen met een geweldsmonopolie. Dat gaat nooit lang goed. Nergens.

Verwijderd @Verwijderd • 19 oktober 2015 12:10

Het is ook een waarschijnlijk ook actie om hackpogingen van bijvoorbeeld China op Rusland op onderdanen te frustreren.

Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?

Ze hebben natuurlijk graag dat inwoners uit die landen vertrouwen dat Facebook hun data uit handen houdt van die overheden en door die mensen te waarschuwen als hun account wordt aangevallen kunnen inwoners van die landen kiezen om hun account beter beschermen

Een bedrijf doet iets in de allereerste plaats vanwege geld. Dus de centrale vraag hier is: hoe denkt Facebook met deze waarschuwing geld te verdienen?

Berrick @Verwijderd • 19 oktober 2015 12:34

Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?

Als je account niet onder vuur ligt krijg je ook geen berichtje en heb je er dus ook niet "last" van. Als mijn account wel aangevallen wordt door overheidgestuurde hackers zou ik FB dankbaar zijn voor de waarschuwing. Overigens zou ik mijn account meteen opheffen, lijkt me iets efficienter dan 2 traps authenticatie. Zeker omdat overheden zeer waarschijnlijk ook wel toegang hebben tot mijn sms-jes.

Een bedrijf doet iets in de allereerste plaats vanwege geld. Dus de centrale vraag hier is: hoe denkt Facebook met deze waarschuwing geld te verdienen?

Dat is wel heel kort door de bocht. Op de lange termijn zijn alle acties van commerciële bedrijven commercieel gedreven, maar op de korte termijn kan het bijvoorbeeld een poging zijn de publieke opinie te verbeteren. FB heeft toch de reputatie data van haar gebruikers door te spelen naar de Amerikaanse autoriteiten. Met deze actie willen ze wellicht laten zien dat ze wel degelijk om de privacy van de gebruikers geven en overheden niet zomaar toegang verschaffen.
Het zou overigens ook een politiek gedreven reactie kunnen zijn op iets waar wij niet van af weten.

Verwijderd @Berrick • 19 oktober 2015 13:29

[...]
Als je account niet onder vuur ligt krijg je ook geen berichtje en heb je er dus ook niet "last" van.

Nee, maar daarvoor heb je wel je telefoonnummer afgestaan of de FB app geinstalleerd. Kortom, je hebt een stukje privacy ingeleverd in ruil voor een "privacyschendingsnotificatie". Een paradox, zeg maar.

Als mijn account wel aangevallen wordt door overheidgestuurde hackers zou ik FB dankbaar zijn voor de waarschuwing. Overigens zou ik mijn account meteen opheffen, lijkt me iets efficienter dan 2 traps authenticatie. Zeker omdat overheden zeer waarschijnlijk ook wel toegang hebben tot mijn sms-jes.

Hehehe... als je een nieuw account aanmaakt, dan weten ze je weer te vinden. Facebook eist toch dat gebruikers hun echte gegevens invullen?

[...]
Dat is wel heel kort door de bocht. Op de lange termijn zijn alle acties van commerciële bedrijven commercieel gedreven, maar op de korte termijn kan het bijvoorbeeld een poging zijn de publieke opinie te verbeteren.

Reputatie (publieke opinie) verbeteren vertaalt zich naar geld. Hoe denk je dat een CEO of manager te werk gaat? Zo van "we gaan vlak voor de kerstperiode een reputatiecampgne lanceren. Daardoor verwachten we met kerst ongeveer 3 miljoen extra abonnees te krijgen die kerstreclame voor hun kiezen krijgen waardoor we 10 miljoen omzet kunnen maken - puur vanwege die reputatiecampagne".

FB heeft toch de reputatie data van haar gebruikers door te spelen naar de Amerikaanse autoriteiten. Met deze actie willen ze wellicht laten zien dat ze wel degelijk om de privacy van de gebruikers geven en overheden niet zomaar toegang verschaffen.

Precies wat ik daarnet zei: als FB een reputatiecampagne lanceert, dan kunnen ze daar geld mee verdienen. Vergeet niet, dat een dergelijke campgne officieel niet valt onder reclame en daardoor ontlopen ze reclamebelasting. Het is gewoon een nieuwsbericht en dat is heel wat anders dan reclame.

Adion

@Verwijderd • 19 oktober 2015 16:21

Ik had zelf (als Belg) nog nooit gehoord van reclamebelasting.
Na een snelle zoekactie blijkt het een Nederlandse belasting te zijn die gemeenten kunnen heffen indien reclame vanaf de openbare weg zichtbaar is.

Lijkt me dus geen belasting waar facebook zich echt zorgen om hoeft te maken.

Verwijderd @Adion • 19 oktober 2015 16:35

Ik had zelf (als Belg) nog nooit gehoord van reclamebelasting.
Na een snelle zoekactie blijkt het een Nederlandse belasting te zijn die gemeenten kunnen heffen indien reclame vanaf de openbare weg zichtbaar is.

Lijkt me dus geen belasting waar facebook zich echt zorgen om hoeft te maken.

Jah, klopt. Sorry.

mae-t.net @Verwijderd • 20 oktober 2015 01:53

Mooi dat Facebook de wereld wil helpen. Maar waarom hebben wij dat hier in Nederland nodig?

Omdat niet alleen China en Rusland internet hebben. Behalve ver-van-mijn-bed-shows kan er ook wel een keer een naast-mijn-bed-show langskomen.

Verwijderd @mae-t.net • 20 oktober 2015 07:58

[...]

Omdat niet alleen China en Rusland internet hebben. Behalve ver-van-mijn-bed-shows kan er ook wel een keer een naast-mijn-bed-show langskomen.

Ik kan niet de echte reden zien waarom Facebook deze notificaties gaat versturen. Facebook is een bedrijf dat steeds uit is op privacygevoelige informatie en nu willen ze mij juist beschermen tegen privacyschendingen? Daar klopt iets niet.

mae-t.net @Verwijderd • 20 oktober 2015 14:07

In volgorde van waarschijnlijkheid: Charme-offensief? Of gewoon geen behoefte aan concurrentie? Ruzie met de een of andere overheidsdienst?

Dat ze het misschien zo kunnen draaien dat ze zelf meer gegevens krijgen is opzich ook mooi meegenomen, al zullen ze veel telefoonnummers al wel hebben.

The Zep Man

Beveiliging en antivirus
Privacy
Hackers
Facebook

@Ram-G-maN • 19 oktober 2015 11:24

Met tweetraps-authenticatie ben je verplicht je telefoonnummer af te staan óf Facebook app te installeren op telefoon. Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.

Je neemt aan dat de NSA binnenkomt via de voordeur. De NSA hoeft zich bij Facebook echt geen zorgen te maken over gebruikersauthenticatie wanneer zij gegevens willen verkrijgen.

defixje @The Zep Man • 19 oktober 2015 11:33

Hij zegt toch ook niet dat de NSA zich zorgen maakt om de gebruikersauthenticatie.

Hij licht juist uit dat NSA doormiddel van het aanzetten van de tweetraps-authenticatie van Facebook je telefoonnummer bekend wordt bij NSA en/of je perse de Facebook app moet installeren wat volgens de poster een Trojanspaard is voor NSA.

Dus via beide wegen heeft Facebook meer informatie over je wat Facebook dus weer wat oplevert.

Dreamvoid @defixje • 19 oktober 2015 14:40

De NSA weet je telefoonnummer toch wel, die hacken bij Vodafone naar binnen en kopieren de hele klantendatabase.

defixje @Dreamvoid • 19 oktober 2015 14:55

Dat zou kunnen. Maar daar ging de discussie niet over...

PolarBear @Ram-G-maN • 19 oktober 2015 14:42

Je voorziet zo je, van logischerwijs meest gebruikte telefoon, je telefoonnummer aan de NSA óf je voorziet je smartphone van een Trojaanse paard dat Facebook app heet.

Facebook app trojaans paard noemen ok, denk dat je overdrijft maar goed. Maar denken dat de NSA niet op 100 andere manieren achter je telefoonnummer kan komen (ik bedoel een simpel verzoek bij de telefoonprovider levert denk ik al 90% van de nummers op die ze zouden willen hebben) is wel een tikje naïef.

OddesE @PolarBear • 19 oktober 2015 20:52

Punt blijft toch wel staan.

Zowel Google (Gmail, YouTube), Facebook als Microsoft (Hotmail, MSN) zijn inmiddels wel heel fanatiek geworden waar het om het verzamelen van je mobiele telefoonnummer gaat. Bij Google viel er bijna niet aan te ontkomen. MS gaat eens in de zoveel tijd opnieuw zeuren en bij Facebook kun je op sommige sites niet meer met je Facebook account inloggen als je account niet gevalideerd is (waarvoor ze een mobiel nummer willen).

Alledrie de bedrijven zeggen dat dit voor security is, maar gaan gemakshalve voorbij aan het feit dat het niet afgeven van je mobiele nummer ook een beveiligingsmaatregel is... Google Authenticator is dan nog sort of een oplossing... Maar wat we eigenlijk nodig hebben is een Open Source, peer reviewed Open Authenticator appje die voor al deze sites bruikbaar is.

Skoucail @OddesE • 20 oktober 2015 08:16

Probeer dan eens FreeOTP.
Deze is geloof ik volledig opensource.

Ikzelf gebruik liever Authy, maar ik geloof dat ik daarmee de vele alu hoedjes doe steigeren. (closed source en cloud backup)

bbr @Ram-G-maN • 19 oktober 2015 11:28

Ze hebben nu mijn telnr niet,. dat zouden ze hierbij wel krijgen - inderdaad niet iets waar ik me heel comfortabel warm van ga voelen.

Dan liever die app - die er toch al op staat,. of codegenerator.
blijft in beide gevallen verdacht.

mcDavid @bbr • 19 oktober 2015 12:35

Het is nogal naïef om te denken dat facebook je telefoonnummer niet heeft. Vrijwel iedereen met een smartphone en facebookaccount deelt zijn contacten. Je kunt dus zelf wel proberen je telefoonnummer geheim te houden, maar als één van je contacten de facebookapp heeft, ben je er al bij.

Dreamvoid @mcDavid • 19 oktober 2015 14:37

En dan nog, WhatsApp is ook van Facebook, die hebben je telefoonnummer sowieso al. Facebook verkeer van hetzelfde IP -> Facebook weet je telefoonnummer.

noway @Dreamvoid • 19 oktober 2015 19:15

als het weten waarom vragen ze het dan? en waar staat dat.?....... dat hun jouw nummer hebben?

Atmosfeer @noway • 20 oktober 2015 03:08

Om de indruk te wekken dat ze het niet weten

Denniz0229 @bbr • 19 oktober 2015 11:38

Er hoeft maar 1 iemand die jouw als contact heeft de Facebook app te hebben en dan hebben ze je telefoonnummer alsnog.

Skoucail @Ram-G-maN • 19 oktober 2015 11:36

Tweetraps-authenticatie van FB werkt perfect met de google authenticator.
Dus de FB app op je telefoon is geen vereiste om toch veilig te kunnen inloggen op je FB.

Darkstriker @Skoucail • 19 oktober 2015 13:32

Ja, en dat is veiliger voor je data

Going4Quests @Darkstriker • 19 oktober 2015 17:54

Microsoft Authenticator is ook prima.

Skoucail @Darkstriker • 20 oktober 2015 08:06

Of gelijk welke andere app (die je eventueel zelf kunt schrijven) die TOTP (Time-based One-time Password Algorithm) implementeert.
Als je de implementatie van google niet vertrouwt.

himlims_ @Skoucail • 19 oktober 2015 14:30

muhahaha jah en dat is het ineens .hidden

tip; gebruik geen facebook

Marzman @Skoucail • 19 oktober 2015 18:30

Serieus? Dan ga ik dat ook gebruiken, Facebook Lite heeft geen authenticator en die smsjes is het ook niet.

Tom 1234 @Ram-G-maN • 19 oktober 2015 11:59

Of geen facebook gebruiken.

Yoshee @Ram-G-maN • 19 oktober 2015 14:35

Maar je kan toch ook een prepaid (contant betaald) nummer opgeven? In hoeverre is dat te volgen wie dat dan is, toch?

ONiel @Ram-G-maN • 19 oktober 2015 19:21

Grote kans dat Facebook van veel mensen het Telefoonnummer al heeft, zeker aangezien veel mensen het gewoon ingeven.
Buiten dat, hoeft de NSA geen enkele vorm van authenticatie te kraken om toegang te krijgen tot IEDEREEN z'n Facebook data. Aangezien Facebook in het PRISM programma van de NSA zit, en een onderdeel is van X-Keyscore.

PRISM is dat de NSA altijd op elk moment, zonder enige vorm van aanvraag alle data op de servers van bepaalde bedrijven kan ophalen.

X-Keyscore is een systeem dat (door bijvoorbeeld enkel een e-mailadres in te geven) al je internetdata kan verkrijgen (meta-data, bezochte websites, Facebook-data,...) en analyseren. Dit systeem is dan weer gebaseerd op andere programma's zoals PRISM.

Met andere woorden, deze nieuwe beveiligings-feature is enkel effectief tegen niet-Amerikaanse staatshackers, tegen de rest heeft het geen zin. Op zich is dit een zeer goed idee en initiatief. Alleen jammer dat Facebook in het NSA-programma zit.

Salmon @Ram-G-maN • 19 oktober 2015 11:16

It's a trap!

Verwijderd @Ram-G-maN • 19 oktober 2015 11:21

Je hebt wel gelijk met de facebook app. Van ale familie leden die klagen omdat hun smartphone traag is. Is het verwijderen van facebook meestal helpvol.

Gallant @azerty • 19 oktober 2015 14:01

Natuurlijk met uitzondering van aanvallen door de NSA

Waarom de deur forceren als je de sleutel hebt?

Hieronymuski 19 oktober 2015 11:20

Ik ben banger wat Facebook over mij te weten wil komen, dan de overheid

Verwijderd @Hieronymuski • 19 oktober 2015 11:55

Werkelijk? Van Facebook kan je af komen. Van een overheid niet, tenzij je een staatsgreep doet.

Hieronymuski @Verwijderd • 19 oktober 2015 12:05

Ik doe niks strafbaars, dus ik ben niet echt bang dat de overheid 't op mij gemunt heeft.
Facebook is overal en nergens, die verzamelen sowieso informatie over je of je daar nou een account hebt of niet.
Ze houden gewoon een schaduwprofiel bij en mochten ze je ooit kunnen matchen via een account dat je aanmaakt of whatsapp ofzo.. tja

Van Facebook kom je echt niet zomaar af. De overheid komt echter niet zomaar achter jou aan.

Verwijderd @Hieronymuski • 19 oktober 2015 12:11

Je doet nóg niets strafbaars. Dat is het hele punt, wanneer een malafide overheid in tijd van oorlog / etc. aan de macht komt kunnen wetten veranderen waardoor er dingen veranderen waardoor je ineens strafbaar kan zijn. Verder zijn er nog dingen als false positives waar je voor uit moet kijken. Facebook heeft geen leger / politie om op je af te sturen, een regering wel.

Zie bv deze film van xs4all: http://www.privacymatters.nl/

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:26]

OddesE @Hieronymuski • 19 oktober 2015 20:57

Ik doe niks strafbaars, dus ik ben niet echt bang dat de overheid 't op mij gemunt heeft.

Damn wat naief. 6 miljoen joden deden ook niks strafbaars.

De overheid is veel gevaarlijker dan welk bedrijf dan ook. Overheden hebben vele miljoenen mensen vermoord alleen al in Europa in de vorige eeuw. En me dunkt dat bijv. de Snowden affaire wel bewijst dat ook de moderne overheid er niet voor schroomt haar eigen wetten te overtreden én vervolgens alles uit de kast te trekken om de klokkenluider aan te pakken in plaats van de overtreders.

Verwijderd @Hieronymuski • 19 oktober 2015 12:09

Je facebook account kan je verwijderen en verder kan je facebook helemaal blokkeren, een overheid is helaas niet te verwijderen en te blokkeren. Verder is het doel van hun informatieverzamelen puur commercieel, terwijl overheden die informatie van jou willen om hun macht te vergroten. Gebruik geen Facebook en ben niet zo'n grote fan van ze maar dit vind ik toch een nette actie van ze.

Ulysses 19 oktober 2015 11:03

Ja maar als een hacker voor de staat werkt, dan heeft hij toch ook controle over de rootcertificaten van die staat, waardoor hij iig kan meelezen met alles wat je op Facebook verstuurt en ontvangt? Sowieso, SHA1 encryptie op de SSL van Facebook.

Firefly III @Ulysses • 19 oktober 2015 11:12

Eh, nee?

Het certificaat van Facebook is ondertekend door DigiCert. Dus niet door een nationale overheid of wat dan ook. Daar kan je niet zomaar op middle-man'en.

Die handtekening is inderdaad SHA-1, maar dat bekent niet instant hackbaar, ook niet na het recente nieuws over SHA-1.

Daarnaast staat Facebook op de HTTP Strict Transport Security (HSTS) preload list waardoor http forceren ook niet mogelijk is.

Ulysses @Firefly III • 19 oktober 2015 11:21

Dankjewel voor je reactie. Ik heb blijkbaar niet helemaal goed opgelet bij de lessen PKI. Ik verkeerde in de veronderstelling dat als je een rootcertificaat had dat geïnstalleerd was op de PC, je elke SSL connectie kon tappen. Maar wat jij zegt maakt veel meer sense. Nu begin ik het wel een beetje te snappen. Ik kan je helaas geen +2 geven

Firefly III @Ulysses • 19 oktober 2015 11:28

Haha het idee is het goed, mbt root certificaten. Want op zich zijn root-certificaten behoorlijk krachtig.

Een browser heeft een lijst root-certs. Daarbij dus ook overheidscertificaten. Heb je toegang tot een overheids-rootcert, dan zou je in principe onder die naam een certificaat kunnen tekenen voor Facebook en zo meeliften op de https. Maar daarmee geef je wel meteen weg dat jij het bent. Minder handig (facebook.com getekend door China, rara wie is jou aan het hacken).

Slimmer is het om aan de kant van de client gewoon iets van malware neer te zetten en de hele https verbinding te laten voor wat het is.

Verwijderd @Firefly III • 19 oktober 2015 11:29

Eh, nee?
Het certificaat van Facebook is ondertekend door DigiCert. Dus niet door een nationale overheid of wat dan ook. Daar kan je niet zomaar op middle-man'en.

In hoeverre is het zo dat een overheid inzage kan eisen in de certificaten van DigiCert? Als de overheid inzage kan eisen in telecomgerelateerde zaken, kan het dus ook voor DigiCert gelden. En aangezien we steeds meer naar een situatie toe werken waarbij toestemming door een rechter steeds minder is vereist (ongericht tappen etc), vraag ik me af in hoeverre de overheid toegang (of ambities daarvoor) heeft tot data van DigiCert.

Firefly III @Verwijderd • 19 oktober 2015 11:37

Als jij inzage wilt in de certificaten van DigiCert.. ze staan op de website van DigiCert. Ook de door DigiCert uitgegeven certificaten zijn gewoon te bekijken in je browser. Niet super spannend.

Een certificaat is een "gecertificeerde sleutel". En de sleutel, die komt niet bij DigiCert vandaan. Die blijft bij de klant.

Dreamvoid @Firefly III • 19 oktober 2015 14:42

...maar wellicht heeft de overheid die sleutel ook.

Jeffrey0416 19 oktober 2015 11:03

Ik heb de verificatie via sms al jaren aanstaan.. Dit omdat me facebook toch voor mij erg belangrijk is, en ik het niet fijn zou vinden als iemand eventjes erop gaat lopen rond klooien. Bedoel heb ook veel zakelijke connectie's etc op facebook..

SamuraiP1zzaCat @Jeffrey0416 • 19 oktober 2015 11:05

zakelijke....

Ik zou sowieso als ik erg betrouwbare informatie heb, dit niet met Facebook delen.... Linkedin eigenlijk hetzelfde, maar alleen zakelijk. Hier ga je ook geen gevoelige info plaatsen.

[Reactie gewijzigd door SamuraiP1zzaCat op 22 juli 2024 16:26]

beascob

19 oktober 2015 11:08

IP-logging geeft aan dat jouw Facebook naar "foute" adressen linkt?

Ulysses @beascob • 19 oktober 2015 11:24

Volgens mij doen ze dat niet alleen per IP. Want zelfs in mijn eigen huis moet ik de tweetraps authenticatie doorlopen als mijn sessie is verlopen o.i.d.

SinergyX 19 oktober 2015 11:23

als er een sterke verdenking is dat de aanval afkomstig is van hackers die opereren in opdracht van een overheid of staat

Gezien Facebook US is, zal dit wel uitsluitend in de gevallen China en consorten zijn, vind het een zware 'bepaling' of een 'hacker' wel/niet in opdracht werkt van een overheid.

Verwijderd @SinergyX • 19 oktober 2015 12:05

ind het een zware 'bepaling' of een 'hacker' wel/niet in opdracht werkt van een overheid.

Klopt maar de waarschwuing is daar ook in overeenstemming mee.
Als je zeker wist dat het overheidshackers betrof kun je beter 2-traps authenticatie verplicht afdwingen en niet slechts een waarschuwing geven.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:26]

SamuraiP1zzaCat 19 oktober 2015 11:02

Facebook zegt niet hoe het de aanvallen kan herleiden naar staatshackers.

Hier was ik nu net benieuwd naar. Waarom weert Facebook sowieso die hackers dan niet als ze ze kunnen herleiden. Nu ligt de actie bij de gebruiker.

[Reactie gewijzigd door SamuraiP1zzaCat op 22 juli 2024 16:26]

Auteur

Xtuv @SamuraiP1zzaCat • 19 oktober 2015 11:05

Zoals Facebook zegt, gaat het niet om directe aanvallen op systemen/servers van Facebook. Waarschijnlijk betreft het hier 'verdachte activiteit' die het sociale netwerk waarneemt bij de betreffende accounts. Wellicht gaat het dan om inlogpogingen vanaf bepaalde locaties of met bepaalde patronen die te herleiden zijn tot hackergroeperingen waarvan bekend is dat ze in opdracht van overheden werken.

SamuraiP1zzaCat @Xtuv • 19 oktober 2015 11:08

Ze kunnen dan toch zeggen, jij mag niet inloggen vanaf deze locatie, en dan alsnog om extra authenticatie vragen. Nu moet de gebruiker eerst zelf zijn beveiliging inschakelen. Waarom doet FB dit niet preventief.

Deveon @SamuraiP1zzaCat • 19 oktober 2015 12:28

Dan weet de slechterik ook dat die in de gaten gehouden wordt. Als die het niet weet is het veel makkelijker om hem in de gaten te houden.

koentjuh1987 19 oktober 2015 12:31

ben benieuwd hoe facebook het e.e.a. gaat herkennen en herleiden. Een algemene waarschuwing van: er is ingelogd vanaf een nieuwe locatie (zoals gmail dat bijvoorbeeld ook doet) lijkt me eerder zinvoller. Dan heeft de gebruiker misschien ook het besef dat er iets fout gaat met zijn account en mogelijk verkeerd gebruikt zal worden. Of schiet ik hier de plank mis?

Verwijderd 19 oktober 2015 16:07

Ik blijf het een lastig verhaal vinden, omdat er geen arbitrage is noch enige controle op de authenticiteit van de informatie.

Tegenwoordig volstaat het blijkbaar om voldoende 'digitaal' bewijs in het rond te strooien, onder een andere identiteit. Lang en intensief genoeg tot er voldoende meta en andere data in een vangnet hangt. De echte identiteit zal ondervinden waarom. Guilty until proven innocent.

Mooie marketing talk in de nasleep van Safe Harbor, wat ben ik blij dat ik nooit een account of FB heb gehad. Privacy invading portal of doom

Verwijderd 19 oktober 2015 11:50

systeem vervangen...wooow dan wil ik weten wat ze daarmee bedoelen

Verwijderd @Verwijderd • 19 oktober 2015 12:18

Zoals het er staat, overheden knoeien ook met hardware, of je hebt een rootkit geinstalleerd staan, beste is dus de hardware vervangen. En koop dit in een fysieke winkel en betaal cash, laat het niet opsturen als je weet dat je een target bent!

Verwijderd @Verwijderd • 19 oktober 2015 13:43

heb zelfs ergens gelezen dat ze tot een bepaalde afstand data kunnen lezen van je harde schijf zonder dat de computer met het web verbonden is. dat artikel had ik volgens mij toen den tijd ook op Tweakers gelezen. Als je echt de pineut bent, vermijd dan elektronica lol

edit: nieuws: Onderzoekers hacken offlinecomputers met 'dumbphone'

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:26]

mae-t.net @Verwijderd • 20 oktober 2015 02:00

Maar dan moet je zonder die webverbinding wel eerst malware, letterlijk 'phone home' software, op die computer geplaatst krijgen (fysieke toegang - dan kun je ook wel andere, efficiëntere, ongein uithalen meestal) en vervolgens is de overdrachtsnelheid beperkt tot enkele bits per seconde. Dan moet je als aanvaller wel heel erg wanhopig zijn.

Verwijderd @mae-t.net • 20 oktober 2015 07:59

Dat las ik ook...

beascob

@Verwijderd • 19 oktober 2015 12:04

je gerootte Android?, de PC? zou er ook niet een van je naaste FB-connecties fout kunnen zijn?
Systeem klinkt als hardware en OS. Maar wat als FB het middel is om ons te spotten?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (84)

Sorteer op:

Weergave: