Facebook: geen aanwijzingen dat hack gevolgen had voor apps met Facebook Login

Facebook heeft een update gepubliceerd over de voortgang van zijn onderzoek naar aanleiding van de recente hack, waarin het stelt dat er geen aanwijzingen zijn dat de aanvallers hebben ingelogd in apps van derden die gebruikmaken van Facebook Login.

In de bekendmaking schrijft Guy Rosen, Facebooks vicepresident voor productmarketing, dat deze conclusie is getrokken na een controle van de logs. Facebook Login maakt het voor ontwikkelaars mogelijk om gebruikers van hun software te laten inloggen met hun Facebook-account, waardoor het bijvoorbeeld niet nodig is een apart account aan te maken. De ontwikkelaars kunnen daarvoor gebruikmaken van een sdk die Facebook ter beschikking stelt.

Rosen stelt dat ontwikkelaars die gebruikmaken van deze sdk veilig waren voor de recente aanval nadat Facebook de buitgemaakte 'access tokens', in totaal 50 miljoen, opnieuw had ingesteld. Omdat niet elke ontwikkelaar de officiële sdk gebruikt, wil Facebook met een tool komen die hen in staat stelt om te controleren of hun gebruikers zijn getroffen zodat ze deze groep kunnen uitloggen. In totaal had Facebook 90 miljoen access tokens een reset gegeven, waarbij het bij de aanvullende 40 miljoen ging om accounts waarbij de kwetsbare View As-functie was gebruikt.

Het sociale netwerk deelde onlangs een schatting van het aantal getroffen EU-gebruikers met de Ierse privacywaakhond. Het stelde dat maximaal 5 miljoen EU-gebruikers door de recente hack zijn getroffen en dat het in de toekomst preciezere cijfers wil delen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 03-10-2018 07:30 17

03-10-2018 • 07:30

17

Lees meer

Facebook liet kwetsbaarheid die leidde tot groot datalek 9 maanden onopgelost
Facebook liet kwetsbaarheid die leidde tot groot datalek 9 maanden onopgelost Nieuws van 10 februari 2020
'Populaire menstruatieapps sturen gevoelige data naar Facebook'
'Populaire menstruatieapps sturen gevoelige data naar Facebook' Nieuws van 10 september 2019
Criminelen bieden privéberichten van 81.000 Facebook-accounts te koop aan
Criminelen bieden privéberichten van 81.000 Facebook-accounts te koop aan Nieuws van 2 november 2018
WSJ: spammers die geld wilden verdienen zaten achter recente aanval op Facebook
WSJ: spammers die geld wilden verdienen zaten achter recente aanval op Facebook Nieuws van 18 oktober 2018
Facebook stelt aantal door recente hack getroffen gebruikers bij naar 30 miljoen
Facebook stelt aantal door recente hack getroffen gebruikers bij naar 30 miljoen Nieuws van 12 oktober 2018
'Facebook werkt aan 'lite'-applicatie voor iOS
'Facebook werkt aan 'lite'-applicatie voor iOS Nieuws van 6 oktober 2018
Facebook schat aantal door hack getroffen EU-gebruikers op maximaal vijf miljoen
Facebook schat aantal door hack getroffen EU-gebruikers op maximaal vijf miljoen Nieuws van 2 oktober 2018
Kwetsbaarheid in View As-functie Facebook gaf toegang tot 50 miljoen accounts
Kwetsbaarheid in View As-functie Facebook gaf toegang tot 50 miljoen accounts Nieuws van 28 september 2018
Meer producten en artikelen
Beveiliging en antivirus Privacy Datalek Facebook Security

Reacties (17)

-Moderatie-faq
17
17
9
0
0
8
Wijzig sortering
Slavy 3 oktober 2018 07:36
Neutraal bericht weer van Facebook, komt bij mij een beetje gemakkelijk over, en dan vooral ook de zin "Security is incredibly important to Facebook." erbij plaatsen, om hun recente problemen daarmee goed te willen praten.
totaalgeenhard @Slavy3 oktober 2018 07:50
Ze moeten dat wel zeggen.

"We have no one that can oversee all security in our infrastructure" is minder overtuigend maar wel de waarheid.
Jeroen hofman @Slavy3 oktober 2018 10:05
Neutraal bericht weer van Facebook, komt bij mij een beetje gemakkelijk over, en dan vooral ook de zin "Security is incredibly important to Facebook." erbij plaatsen, om hun recente problemen daarmee goed te willen praten.

Dat horen we inmiddels toch dagelijks dit soort verweer en berichten,
Zelf zover dat banken niet werken, aps niet werken, betalingen niet werken,
maar wordt verwoord dat er storingen zijn is het betaalverkeer.
Het is werkelijk inmiddels een grote zooi in dit hele digitale tijdperk.
-=bas=- 3 oktober 2018 07:55
[sarcasme]
Toch een veilig gevoel dat niet al je prive informatie te grabbel ligt!
[/sarcasme]
Archcry @-=bas=-3 oktober 2018 08:14
Tjah, dat is het risico wat je als consument neemt wanneer je je inschrijft voor een service als Facebook. Geen enkel platform is 100% secure en daarom is het handig om op te letten wat je wel en niet op zo'n platform beschikbaar stelt. Er is altijd een kans dat de gegevens op straat komen te liggen.

Persoonlijk heb ik niks met Facebook, ik gebruik het dan ook al een aantal jaren niet meer.
Stpan @Archcry3 oktober 2018 09:38
Sterker nog, als je je toch al hebt ingeschreven op Facebook lijkt het me veiliger (veiliger - niet beter voor je privacy) Facebook login zoveel mogelijk te gebruiken voor de gemiddelde consument.
Liever 1 sleutel dan op al je apps en websites je email adres en wachtwoord opgeven. (want de gemiddelde Nederlander recycled die voor alle websites)
Natuurlijk is Facebook niet onfeilbaar. Maar telkens je email/wachtwoord opgeven in tientallen apps en websites lijkt me nog veel meer risico op het uitlekken van je wachtwoord(en).
Hoewel je in theorie een password manager zou moeten gebruiken en/of voor iedere website unieke wachtwoorden, is de realiteit dat "men" dat nauwelijks doet.
Dan maar Facebook of Google login als Single Sign-On. Recentelijk hebben grote partijen als LinkedIn en British Airways me echt in de problemen gekregen namelijk door hun data hacks.
Een "onpartijdige" SSO oprichten die je kunt gebruiken zonder je privacy te verkopen aan Facebook/Google zou helemaal ideaal zijn in mijn ogen. Maar wie zou dat beheren?
tedvg @Archcry3 oktober 2018 09:54
Tijd voor Solid: https://solid.inrupt.com/how-it-works
jaenster 3 oktober 2018 08:01
Het viel mij zelf op dat ik opnieuw moest inloggen vorige week toen dat nieuws naar buiten kwam. Zover ik het nieuws kan begrijpen, kan ik dan enkel concluderen dat ik een van de getroffen mensen ben.

Ik maak geen gebruik van externe apps om in te loggen met facebook noch die blije spelletjes. Ik gebruik facebook icm Firefox @ windows 10 & vroeger op een chrome @ android. Tegenwoordig als losstaande app op mijn ios.

Kan iemand mij uitleggen wat er bedoeld word met "View As" ? is dat als je naar een bericht kijkt, als een van de pagina's die je beheerd?
jozuf @jaenster3 oktober 2018 08:13
View as is het bekijken van een profiel of pagina zoals het publiek dat doet, zover ik weet. Dus niet zoals je normaal gesproken je eigen profiel pagina ziet, ingelogd onder je eigen gebruiker.
Bepaalde zaken vallen dan dus weg, die niet als public zijn ingesteld, zoals posts die niet als "public" zichtbaarheid hebben.

[Reactie gewijzigd door jozuf op 25 juli 2024 23:41]

Christoxz @jaenster3 oktober 2018 08:19
Je kon je eigen profiel bekijken door iemand anders, zo kon je checken hoe beter voor andere uit zagen, zo wist je zeker dat je privacy settings klopte. Echter door de bug kon je hiermee ook de tokenkey verkrijgen.
sebasmeer 3 oktober 2018 08:54
Overal tegenwoordig 2-step verification instellen. Dit is helaas nodig.

[Reactie gewijzigd door sebasmeer op 25 juli 2024 23:41]

Holmindeboks @sebasmeer3 oktober 2018 09:23
ja heb wel 2 staps verificatie op fb. maar als je met die gegevens ergens wilt inloggen, krijg je dan ook een 2 staps verificatie melding? of moet elke site dat appart aanzetten?

oja. ik heb de view as functie niet gebruikt. is er dan niks aan de hand voor mij?

[Reactie gewijzigd door Holmindeboks op 25 juli 2024 23:41]

sebasmeer @Holmindeboks3 oktober 2018 09:27
Zover ik weet is het is enkel voor de inlog in Facebook. Dus als je sessie al actief is in je browser/facebook-app dan heeft zo'n app/site waar je in wil loggen met je Facebook account daar verder niets mee te maken.

Wel is het handig als je gegevens zijn gelekt en iemand probeert in te loggen in je account. Dan gaat dat niet zonder de code die je via SMS (of een app) ontvangt.
Holmindeboks @sebasmeer3 oktober 2018 09:39
ik heb net ff gekeken. ik had dat uitstaan dat je met fb ergens anders kan inloggen.

dus als je fb aangemeld hebt dan krijg je geen melding op een andere site? voor extra code. maar alleen de eerste aanmelding?
Anoniem: 710428 3 oktober 2018 09:24
Keurig werk geleverd. Natuurlijk is het 'slecht' dat zoiets kon gebeuren blablabla. Maar ga zelf er maar aan staan om dat platform te onderhouden en beveiligen. Ikzelf ben gestopt met FB, maar ik heb er wel respect voor, ondanks de manier hoe zij te werk gaan en omgaan met mijn privacy.
ro8in 3 oktober 2018 10:08
Even voor de duidelijkheid. Het gaat er dus niet om of jij de functie hebt gebruikt of niet. Iemand kon via deze functie jouw token achterhalen en met die token overal waar FB login zit als jou inloggen.

Dit is eigenlijk nog veel erger dan Cambridge Analytica. Facebook verzorgt een universeel login systeem welke ook op heel veel andere sites gebruikt wordt. Nu zat er dus al meer dan een jaar een lek in waarmee volledig toegang tot je account verkregen kan worden. Ik gebruik facebook login al nergens(behalve op FB zelf), maar nu weet ik het zeker. Een centraal login systeem is zo beetje het slechtste idee wat er is.
mutley69 3 oktober 2018 22:13
Als men niet kan bewijzen dat het geen gevolgen had - had het gevolgen. Daar moet u als eigenaar van zo'n account van uitgaan. Dat is beveiliging - al de rest zijn marketing-leugens.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq