Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Belgische hacker vindt bugs die verborgen telefoonnummers op Facebook openbaart

Een Belgische ethische hacker heeft enkele bugs ontdekt in de socialenetwerkdienst die het mogelijk maken om van accounthouders telefoonnummers te achterhalen, ook als die verborgen zijn. Hij wil nog niet zeggen hoe zijn truc werkt.

De ethische hacker, Inti De Ceukelaire, wil eerst Facebook de kans geven om de bugs te verhelpen en bovendien kunnen gebruikers in de tussentijd hun telefoonnummer verwijderen, zegt hij tegen het Belgische Radio 1. Hij belooft over enkele weken meer uitleg te geven over de bugs.

Het is geen eenvoudige exploit, zegt hij op Twitter. Per account duurt het een half uur tot drie kwartier om het telefoonnummer boven water te krijgen. De Ceukelaire heeft contact met Facebook over de fouten die de truc mogelijk maken.

Het zou een botnet vereisen om met deze truc alle nummers in de Benelux te pakken te krijgen. Na honderd pogingen zit hij tegen een 'rate limit' en kan hij niet verder zoeken. Hij heeft via de truc diverse nummers van bekende Vlamingen in bezit gekregen.

Facebook heeft nog niet gereageerd op het lek. Het sociale netwerk staat erom bekend snel te reageren op gemelde fouten in de dienst en het beloont bovendien in sommige gevallen ook de vinder ervan.

De afbeelding wekt de indruk dat de exploit werkt via het zoeken van het nummer via het zoekvenster. Dat is onjuist: dit is alleen om te laten zien dat het gevonden nummer inderdaad bij het account van deze bekende Vlaming hoort

Door Arnoud Wokke

Redacteur mobile

11-01-2017 • 17:26

95 Linkedin Google+

Submitter: Humbatiki

Reacties (95)

Wijzig sortering
Grote kans dat hij iets in deze zin gebruikt: http://pastebin.com/DPDfVNdX
Dit had ik al gevonden na 5 minuten Google... Ik ga het nu eens uittesten...
EDIT: Jup. Met een paar aanpassingen aan dit script kan ik het ook. Gewoon puur bruteforce.

[Reactie gewijzigd door woutwoot op 11 januari 2017 20:28]

Als Inti De Ceukelaire al 3 keer vermeld staat op deze lijst,
https://www.facebook.com/whitehat/thanks/
dan geef ik de man toch wat meer credit.
Ik zeg dan ook helemaal niet dat hij niet competent is :)
Hij stelt zelf in een van zijn Twitter-messages dat het ongeveer 30 tot 45min duurt.
Dat komt toch echt wel overeen met een bruteforce-aanval. Misschien heeft hij een kwetsbaarheid in de response time van de server gevonden en kan hij daardoor het aantal permutaties verminderen, maar in essentie blijft het een "simpele" brute-force.
Het is mogelijk om met je 06 in te loggen op facebook
Het lijkt inderdaad op brute force. Zoeken op telefoonnummer is gewoon mogelijk binnen Facebook, ook als de persoon in kwestie het telefoonnummer heeft verborgen.

Ik heb ditzelfde een keer uitgeprobeerd met WhatsApp. Via een script heb ik enkele honderden contactpersonen toegevoegd aan mijn adresboek en zo kreeg ik in WhatsApp namen en foto's te zien van de personen die bij dat nummer hoorden.

Ik vraag me af wat Facebook hier mee gaat doen. It's not a bug, it's a feature. Je kunt beter Facebook gebruikers informeren over deze mogelijkheid zodat ze zich er tegen kunnen beschermen (en dus hun telefoonnummer kunnen verwijderen).
Heeft facebook je telefoonnummer niet van zodra je de facebook app geinstalleerd hebt op je smartphone?
Zelfs erger.
Facebook heeft al de telefoonnummers van je contacten indien je de Facebook app installeert op je smartphone.

Je kunt bij facebook een persoonlijke 'zip' vragen met daarin 'alle' data die ze van jouw hebben.
Daarin stonden in mijn geval al mijn contactpersonen (naam + nummer + eventuele koppeling fb vriend) en gps postities waar ik geweest ben.
en gps postities waar ik geweest ben.
Lekker dan, inderdaad :( Waar kan je die zip aanvragen eigenlijk? Wil ik ook wel eens proberen.
https://www.facebook.com/settings?tab=account
En dan onderin:
Download a copy of your Facebook data.
Hoelang duurt het tot je de info toegestuurd krijgt?
Ik heb het net geprobeerd, ongeveer 1 minuut!
Ow.. dan probeer ik het opnieuw, ik heb het na 8 uur nog steeds niet
Weet niet hoeveel je post op Facebook, maar ik eigenlijk niks. Af en toe een like op iets wat met mij gedeeld wordt en daar houdt het wel mee op.
Dat is niet nodig, zolang je de facebook app hebt geinstalleerd, zal je gsm voor jou wel alles naar facebook melden wat je doet, waar je bent, met wie je belt, wie je berichten stuurt, ... Je moet zelf niets meer doen op facebook, is dat niet handig? :-)
Niet meer, mijn facebook app heeft namelijk nergens toegang meer toe! :)
Echt bizar wat je daarin aantreft eigenlijk. Sommige reclame-woorden kloppen niet helemaal. Sommige kun je afleiden, maar kloppen niet.

Gelukkig is het lijstje met geklikte reclame-items vrij kort. Toch interessant om te zien. Ondanks dat ik geen uitgebreid account hebben, kunnen ze al veel van mij weten. :o

(Natuurlijk wist ik het al, maar toch gek om het bewijs te zien zegmaar)
Had toevallig tijdens een innovation investment een group gesproken die voor FB werkt. Legden zaken uit die deels bekend zijn (private browsing onthoud geen gegevens aan jou kant (reis boeken voor partner, xxx sites bezoeken), maar wel aan de server kant), alsook andere zaken zoals idd GPS tracking. Advertorials zijn gebaseerd op alghoritmes die meerdere zaken zoals je locatie en sociale structuur tegen checken om de juiste content te tonen. Zo wisten ze b.v. dat iemand bij een psycholoog was en kond er via een sociaal alghoritme bepaalde mensen waar hij ook mee omging een psycholoog aangeboden worden... Of 2 vrouwen die b.v. naar yoga class gaan en regelmatig een cafe bezoeken krijgen gezamelijk een wellness add te zien.
Dus ja, er word idd veel info uit je PC/gsm/tablet gehaald en WA gehaald.
FB is gewoon gebaseerd op (smart) adds... Communicatie en news zijn het speculaashuis (waar ik ook graag gebruik van maak).
Ik ging gelijk even kijken, bij mij staan geen gegevens van GPS positie (gelukkig)
Super goede tip, thanks! Ik heb GPS gelukkig uitstaan zo te zien, niks in het zipje. Maar wel alle telefoonnummers en ads die ze mij het beste kunnen voorschotelen.
Helemaal perfect, gelijk gedaan en telefoon machtigingen ingetrokken! Bedankt! _/-\o_
Dat zou goed kunnen. Kijk hier maar eens: https://www.facebook.com/privacy/explanation en ga dan naar "apparaatgegevens". Daar staat het volgende
Apparaatgegevens.
We verzamelen gegevens van en over de computers, telefoons en andere apparaten waarop je onze diensten installeert of opent, afhankelijk van waarvoor je toestemming hebt gegeven. We kunnen de verzamelde gegevens koppelen aan je verschillende apparaten. Dit helpt ons om consistente diensten aan te bieden op al je apparaten. Hier volgen enkele voorbeelden van de apparaatgegevens die we verzamelen:

Kenmerken zoals het besturingssysteem, de hardwareversie, de apparaatinstellingen, de namen van bestanden en software en de bestands- en softwaretypen, batterij- en signaalsterkte en apparaat-ID's.
Apparaatlocaties, waaronder bepaalde geografische locaties, bepaald via GPS-, Bluetooth- of Wi-Fi-signalen.
Verbindingsgegevens zoals de naam van je mobiele provider of internetprovider, browsertype, taal en tijdzone, mobiele telefoonnummer en IP-adres.
Dat hebben ze ook als je de app niet installeert. Ik heb nog nooit de app geïnstalleerd en ben bijna nooit op Facebook. Maar zag wel deze zomer dat ze continu aangaven dat ik voor extra veiligheid mijn nummer kon opgeven. Het nummer was al voor ingevuld......
Goede kans dat een van jou contactpersonen deze gegevens met Facebook heeft gedeeld. Ik weet niet zeker of de "nodig een vriend uit" functie ook met sms werkt, maar ik neem aan dat wanneer je toegang geeft tot je contacten ze gewoon de hele boel downloaden.
Zou kunnen dat ze het via het adresboek van een van je vrienden hebben gekregen, maar toch: Was het niet gewoon je browser die alvast info voor je invult in bepaalde velden? Of zag het er echt anders uit?
Nee, in mijn beleving was het niet mijn browser, omdat ze ook het landnummer ervoor gezet hebben. Daarnaast gebruik ik Firefox, die doet alleen auto-complete en niet auto-fill. (Voor zover ik dat begrepen heb)
Dat kan komen omdat je vrienden jouw telefoonnummer hebben gedeeld, of dat WhatsApp jouw nummer heeft gedeeld met Facebook.
Dat laatste denk ik. Mede omdat Facebook wel eens vrienden suggereert die jij alleen op WhatsApp kent, zonder verdere gemeenschappelijke vrienden.
Idem hier, nooit mijn nummer ingevuld en bezoek FB enkel via de pc of mobiele site en kreeg dezelfde suggestie. Ik vermoed ook dat ze het gewoon uit WA halen of uit het adresboek van een vriend.
Dat had ik ook, ik heb toen een vals telefoonnummer ingegeven. Net zoals mijn naam en woonplaats vals ingevuld is.
Het gaat om de hacker en niet facebook die jou nummer ziet.
Vind het ergens net zo erg faceboek heeft daar ook niets mee te maken.
Volgens mij is hier enige verbazing dat facebook telefoonnummers in bezit heeft. Dus als je denkt dat deze hack niet bij jou van toepassing is omdat facebook je telefoonnummer niet heeft, kan het zomaar blijken ze die toch te hebben via bijvoorbeeld de contactlijst van een ander persoon. En nu kan een hacker dus ook in het bezit zijn van dit telefoonnummer.
Facebook is daar echt niet alleen in hoor. Moet je eens kijken waar een gemiddelde Android app toegang tot vraagt.
Je kan je telefoon nummer ook op facebook zelf zetten, ik denk dat ze dat bedoelen.
Facebook heeft je telefoonnummer zodra je een account aanmaakt. Zonder telefoonnummer, geen Facebook.
edit, afbeelding verkeerd gelezen.

En je nummer verwijderen gaat helpen? Ik heb mijn nummer nooit op Facebook gehad, toch is dat ding in 3 seconde te vinden.

Waarom is hij er alleen zo 'geheimzinnig' over? Blijkbaar had hij fb al ingelicht:
Gedaan. Niet willen fixen. Jammer.
Maar dan is het opeens 'makkelijk' te achterhalen, combinatie van verschillende bugs, vervolgens zegt hij tegen een ratelimiet van 100 aan te lopen, pak je toch gewoon een VPN als het een limiet op IP is of ander FB account als het in combinatie met je account is? Maar vervolgens gokt hij dat het maar bij zo'n 20% van de gebruikers mogelijk is.

Krijg bijna het idee dat hij enkel aandacht zoekt.

[Reactie gewijzigd door SinergyX op 11 januari 2017 17:44]

Dat niet willen fixen vind ik trouwens geen stijl van Facebook. Maar na deze bekendmaking zal daar wel verandering in komen, denk ik.
Vreemd. Een snelle google search toont aan dat fb zelfs geld geeft aan wie zoiets aan facebook gaat melden. 1 case (inloggen in account) kreeg 15k en een andere (emailadres bekomen van gebruiker) 3.5k. Dan is hun weigering het te erkennen / fixen bizar.

[Reactie gewijzigd door frv op 11 januari 2017 18:47]

Vrij standaard marketing truc om een aantal mensen (liefst mensen met enige "reach") extreem goed te behandelen in de hoop dat die dat verder vertellen.

Of Facebook hier ook zo te werk gaat weet ik niet. Ik denk zelf van niet, maar als het wel zo is is dat in elk geval niet bizar.
Heb je een account op Facebook? Zo ja, dan kan het zijn dat WhatsApp jouw telefoonnummer heeft gedeeld met Facebook, en dat het aan jouw account is toegevoegd, om het makkelijker te maken voor vrienden/kennissen om jou te vinden. Je telefoonnummer kan je volgens mij gewoon weer weghalen.
hoe bedoel je? Want ik heb ook geen nummer op fb (nooit gehad) en hoop dat dit dus ook niet op fb vindbaar wordt/is.

(het zou bvb kunnen omdat mensen jou als contact hebben op hun phone en fb/messenger draaien en dat die daardoor je phonecontact met je fb-contact linkt - but i hope not...)
En je nummer verwijderen gaat helpen? Ik heb mijn nummer nooit op Facebook gehad, toch is dat ding in 3 seconde te vinden.

Waarom is hij er alleen zo 'geheimzinnig' over? Blijkbaar had hij fb al ingelicht:
Wat denk je zelf? 8)7 Als hij openbaar maakt hoe je dit doet liggen de telefoonnummers van heel veel Facebook-gebruikers op straat. Dan is het toch niet zo raar dat hij zijn mond houdt over hoe de bug werkt? Facebook moet deze bug fixen, daarom heeft hij FB gecontacteerd.

Hoe het werkt weten we niet, dus daarover speculeren is niet meer dan dat: speculatie ;) Ik lees iets over 100 pogingen en daarna geblokkeerd zijn. Dat suggereert toch iets van gokken / proberen / brute forcen, maar 100 pogingen is veel te weinig om echt gokken te zijn.
En je nummer verwijderen gaat helpen? Ik heb mijn nummer nooit op Facebook gehad, toch is dat ding in 3 seconde te vinden.
Geen idee, gewoon zoveel mogelijk crap (niet je echte woonplaats, telefoonnummer, geboortedatum etc.) neerzetten lijkt wel aardig te werken.
Niet de Facebook apps en WA (#jaookaldoetderestvandewerelddatwellekkerbelangrijk) niet gebruiken en FB (evt. incognito) in de browser openen op de telefoon en PC doen het goed voor mij. ;)

(Ter info: Voor het gebruik van FB is het echt niet noodzakelijk dat je echte gegevens verstrekt)
Vreemde vraag mischien , ik heb 2 step verification aan staan via mijn 06 nummer , kan dit ook via de auth. Apps van google of microsoft ?
Ja dit kan via Google Authenticator (overigens is dat gewoon standaard TOTP dus je kan in principe elke TOTP app gebruiken) maar vreemd genoeg schakelt Facebook dat toch uit als je je mobiele nummer verwijdert. Dus als je dat doet, raak je wel je 2-factor auth kwijt. Zelfs als je dat niet via SMS deed. Raar.
You recently removed your primary phone from your account. Because of this, we turned off login approvals on your account to ensure that you don't get locked out when using an unrecognised computer or mobile device to log in.

If you want to use login approvals again, you can add a mobile phone and then turn on login approvals again.
Ik kan me trouwens niet herinneren Facebook ooit mijn nummer te hebben gegeven maar toch stond het er in. Kreeg na het verwijderen dus deze melding.

[Reactie gewijzigd door GekkePrutser op 11 januari 2017 18:16]

Nou ja, niet helemaal vreemd. Zou je bijvoorbeeld je telefoon kwijtraken en dit stond aan via Google Authenticator, dan kom je er nooit meer in. Een 06-nummer is dan veiliger want je kunt een nieuwe simkaart aanvragen en je 06-nummer houden. Maar dat wil je dan weer niet omdat je Facebook je 06-nummer niet wilt geven, je ziet maar weer hoe makkelijk dat fout kan gaan.

Dan maar een ongelooflijk ingewikkeld password kiezen en opslaan in een password manager.
Nouja je hebt ook nog aparte mogelijkheden voor password recovery/reset, bijvoorbeeld email. De 2-factor was meer bedoeld voor dagelijks gebruik.
Het lijkt erop dat hij gewoon het zoekveld bruteforct met nummers: dit is geen bug maar een 'feature' ;)
Bruteforcing is geen feature. Het ontbreken van adequate bescherming tegen bruteforcen is daarentegen wel een zwakheid.
Ook zou een zoekfunctie nooit verborgen/beveiligde data mogen vrijgeven. Dat is een bug.

[Reactie gewijzigd door the_stickie op 11 januari 2017 17:35]

Het gaat om verborgen nummers. Dat het in de screenshot in het zoekvenster tevoorschijn komt, zegt niets over de manier waarop hij de nummers achterhaald.
Ik weet niet of het bijschrift al bij de afbeelding stond toen jij reageerde, maar anders zou ik zeggen 'leer lezen'. Daarnaast trek je wel heel snel een conclusie, dit terwij de hacker nog geen details vrij geeft.

Desalwelteplus, wanneer ik een telefoonnummer op verborgen heb staan, wens ik ook niet vindbaar te zijn met dat nummer. Dus hoe dan ook een bug en geen feature!
"De afbeelding wekt de indruk dat de exploit werkt via het zoeken van het nummer via het zoekvenster. Dat is onjuist: dit is alleen om te laten zien dat het gevonden nummer inderdaad bij het account van deze bekende Vlaming hoort"

De tekst onder afbeeldingen lezen is meestal niet oninteressant. :)

[Reactie gewijzigd door madtitan op 11 januari 2017 17:39]

En opnieuw bevestigt Facebook hiermee dat de privacy van van gebruikers echt op de allerlaatste plaats komt. En laten we eerlijk zijn; het is toch ook veel leuker (lees; vele malen lucratiever) om te werken aan het inbouwen van reclame in filmpjes van gebruikers dan te werken aan hun veiligheid. /sarcasm off.
Overigens kan je bij mijn weten al tijden geen fb-account meer aanmaken zonder je telefoonnummer aan hen te verstrekken. Naast alle andere redenen voor mij een reden op zich om fb links te laten liggen.
Facebook volgt ook het surfgedrag van niet-leden (bron). Daarnaast koopt het ook gegevens van "mediabedrijven", ook over je offline leven. (bron)
Quote: " if you use a supermarket loyalty card to buy cornflakes,you can expect to see a cornflakes advertisement when loggin' in to Facebook. "
Yep, hoewel ik dus zo'n fosiel ben die zich probeert te onttrekken aan alles en iedereen die zichzelf wil verrijken ten koste van MIJN privacy, ben ik mij ervan bewust dat ik nooit volledig anoniem kan blijven, gegeven de hoeveelheid data die inmiddels door dergelijke bedrijven van mij is gestolen ;(
Een verborgen telefoonnummer mag gewoon niet kunnen verschijnen - het bewijst nogmaals dat Facebook erg slecht is voor uw privacy - maar eigenlijk weet iedereen dat ondertussen al (zou moeten weten).
Lachen, net nu alle Whatsappers hebben toegestaan dat hun gegevens (telefoonnummers) gedeeld mogen worden met Facebook. (En deze dus vast en zeker ergens binnen Facebook aan je account gekoppeld is.)
Dat zal best, maar dat kun je ook weer van je account verwijderen. Bovendien heeft niet iedereen Facebook.
Nee niet iedereen...het zijn er maar ongeveer 1.500.000.000 geloof ik (die dus wel Facebook hebben).
1,5 miljard mensen is dus toch alsnog niet iedereen, of ben ik nou gek?
Nope, maar wel 20% van de wereldbevolking. Wat ik overigens best een bizarre hoeveelheid vind.
Dat is inderdaad een bizar enge hoeveelheid. En doordat anderen, informatie delen met Facebook, zit jij ook ongewild in de database van Facebook :(.
Dat weet ik, maar wat ik eruit kan halen, is dat hij het sarcastisch/cynisch bedoelt.
Hoezo alle, ik heb bij Whatsapp nooit op ok gedrukt. Niet dat ik Facebook heb.
etisch hacken altijd +1

maar hiermee wordt dus gesuggereerd dat als je je nummer verwijdert deze niet te achterhalen is? een linkje waar je dat kan doen zou wel fijn zijn in afwachting van FB's reactie
Je kan ook gewoon op deze pagina onder "Wie kan je zoeken met behulp van het telefoonnummer dat je hebt opgegeven?" dat op Vrienden zetten.
In dat geval kan men nog steeds de laatste 2 cijfers van je nummer vinden, maar niet meer dan dat. (verifiëren of een bepaalde combinatie het nummer van jouw account is kan dan niet meer)
Best eng dus eigenlijk. In principe kan je facebook app je dus gewoon spioneren? Ze kunnen bijna exact achterhalen waar je bent dmv GPS en WiFi signalen. Mag dit ook volgens de overheid? :d
Welke overheid? De onze? Die hebben überhaupt geen weet van het feit dat er apps zijn die dit kunnen. Verder is het ergens ook geen overheidstaak: je accepteert zelf een eula waar dit in staat bij installatie. Juridisch gezien prima. Of het wenselijk is, is een 2e.
Klopt, microsoft kan je aangeven bij de politie en whatsoever, want ze mogen in je bestanden kijken etc. RIP privacy.
Akkoord gaan met onwettige (bedrijs)regels maken deze niet wettig.
Klopt. Maar een overeenkomst waarin staat dat je bij gebruik app X data, privé data Y deelt, waar je zelf mee akkoord gaat bij in gebruikname van app X, is juridisch denk ik vrij lastig aan te vechten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True