Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook: geen aanwijzingen dat hack gevolgen had voor apps met Facebook Login

Facebook heeft een update gepubliceerd over de voortgang van zijn onderzoek naar aanleiding van de recente hack, waarin het stelt dat er geen aanwijzingen zijn dat de aanvallers hebben ingelogd in apps van derden die gebruikmaken van Facebook Login.

In de bekendmaking schrijft Guy Rosen, Facebooks vicepresident voor productmarketing, dat deze conclusie is getrokken na een controle van de logs. Facebook Login maakt het voor ontwikkelaars mogelijk om gebruikers van hun software te laten inloggen met hun Facebook-account, waardoor het bijvoorbeeld niet nodig is een apart account aan te maken. De ontwikkelaars kunnen daarvoor gebruikmaken van een sdk die Facebook ter beschikking stelt.

Rosen stelt dat ontwikkelaars die gebruikmaken van deze sdk veilig waren voor de recente aanval nadat Facebook de buitgemaakte 'access tokens', in totaal 50 miljoen, opnieuw had ingesteld. Omdat niet elke ontwikkelaar de officiŽle sdk gebruikt, wil Facebook met een tool komen die hen in staat stelt om te controleren of hun gebruikers zijn getroffen zodat ze deze groep kunnen uitloggen. In totaal had Facebook 90 miljoen access tokens een reset gegeven, waarbij het bij de aanvullende 40 miljoen ging om accounts waarbij de kwetsbare View As-functie was gebruikt.

Het sociale netwerk deelde onlangs een schatting van het aantal getroffen EU-gebruikers met de Ierse privacywaakhond. Het stelde dat maximaal 5 miljoen EU-gebruikers door de recente hack zijn getroffen en dat het in de toekomst preciezere cijfers wil delen.

Door Sander van Voorst

Nieuwsredacteur

03-10-2018 • 07:30

17 Linkedin Google+

Reacties (17)

Wijzig sortering
Neutraal bericht weer van Facebook, komt bij mij een beetje gemakkelijk over, en dan vooral ook de zin "Security is incredibly important to Facebook." erbij plaatsen, om hun recente problemen daarmee goed te willen praten.
Ze moeten dat wel zeggen.

"We have no one that can oversee all security in our infrastructure" is minder overtuigend maar wel de waarheid.
Neutraal bericht weer van Facebook, komt bij mij een beetje gemakkelijk over, en dan vooral ook de zin "Security is incredibly important to Facebook." erbij plaatsen, om hun recente problemen daarmee goed te willen praten.

Dat horen we inmiddels toch dagelijks dit soort verweer en berichten,
Zelf zover dat banken niet werken, aps niet werken, betalingen niet werken,
maar wordt verwoord dat er storingen zijn is het betaalverkeer.
Het is werkelijk inmiddels een grote zooi in dit hele digitale tijdperk.
[sarcasme]
Toch een veilig gevoel dat niet al je prive informatie te grabbel ligt!
[/sarcasme]
Tjah, dat is het risico wat je als consument neemt wanneer je je inschrijft voor een service als Facebook. Geen enkel platform is 100% secure en daarom is het handig om op te letten wat je wel en niet op zo'n platform beschikbaar stelt. Er is altijd een kans dat de gegevens op straat komen te liggen.

Persoonlijk heb ik niks met Facebook, ik gebruik het dan ook al een aantal jaren niet meer.
Sterker nog, als je je toch al hebt ingeschreven op Facebook lijkt het me veiliger (veiliger - niet beter voor je privacy) Facebook login zoveel mogelijk te gebruiken voor de gemiddelde consument.
Liever 1 sleutel dan op al je apps en websites je email adres en wachtwoord opgeven. (want de gemiddelde Nederlander recycled die voor alle websites)
Natuurlijk is Facebook niet onfeilbaar. Maar telkens je email/wachtwoord opgeven in tientallen apps en websites lijkt me nog veel meer risico op het uitlekken van je wachtwoord(en).
Hoewel je in theorie een password manager zou moeten gebruiken en/of voor iedere website unieke wachtwoorden, is de realiteit dat "men" dat nauwelijks doet.
Dan maar Facebook of Google login als Single Sign-On. Recentelijk hebben grote partijen als LinkedIn en British Airways me echt in de problemen gekregen namelijk door hun data hacks.
Een "onpartijdige" SSO oprichten die je kunt gebruiken zonder je privacy te verkopen aan Facebook/Google zou helemaal ideaal zijn in mijn ogen. Maar wie zou dat beheren?
Het viel mij zelf op dat ik opnieuw moest inloggen vorige week toen dat nieuws naar buiten kwam. Zover ik het nieuws kan begrijpen, kan ik dan enkel concluderen dat ik een van de getroffen mensen ben.

Ik maak geen gebruik van externe apps om in te loggen met facebook noch die blije spelletjes. Ik gebruik facebook icm Firefox @ windows 10 & vroeger op een chrome @ android. Tegenwoordig als losstaande app op mijn ios.

Kan iemand mij uitleggen wat er bedoeld word met "View As" ? is dat als je naar een bericht kijkt, als een van de pagina's die je beheerd?
View as is het bekijken van een profiel of pagina zoals het publiek dat doet, zover ik weet. Dus niet zoals je normaal gesproken je eigen profiel pagina ziet, ingelogd onder je eigen gebruiker.
Bepaalde zaken vallen dan dus weg, die niet als public zijn ingesteld, zoals posts die niet als "public" zichtbaarheid hebben.

[Reactie gewijzigd door jozuf op 3 oktober 2018 08:14]

Je kon je eigen profiel bekijken door iemand anders, zo kon je checken hoe beter voor andere uit zagen, zo wist je zeker dat je privacy settings klopte. Echter door de bug kon je hiermee ook de tokenkey verkrijgen.
Overal tegenwoordig 2-step verification instellen. Dit is helaas nodig.

[Reactie gewijzigd door sebasmeer op 3 oktober 2018 09:12]

ja heb wel 2 staps verificatie op fb. maar als je met die gegevens ergens wilt inloggen, krijg je dan ook een 2 staps verificatie melding? of moet elke site dat appart aanzetten?

oja. ik heb de view as functie niet gebruikt. is er dan niks aan de hand voor mij?

[Reactie gewijzigd door Holmindeboks op 3 oktober 2018 09:26]

Zover ik weet is het is enkel voor de inlog in Facebook. Dus als je sessie al actief is in je browser/facebook-app dan heeft zo'n app/site waar je in wil loggen met je Facebook account daar verder niets mee te maken.

Wel is het handig als je gegevens zijn gelekt en iemand probeert in te loggen in je account. Dan gaat dat niet zonder de code die je via SMS (of een app) ontvangt.
ik heb net ff gekeken. ik had dat uitstaan dat je met fb ergens anders kan inloggen.

dus als je fb aangemeld hebt dan krijg je geen melding op een andere site? voor extra code. maar alleen de eerste aanmelding?
Keurig werk geleverd. Natuurlijk is het 'slecht' dat zoiets kon gebeuren blablabla. Maar ga zelf er maar aan staan om dat platform te onderhouden en beveiligen. Ikzelf ben gestopt met FB, maar ik heb er wel respect voor, ondanks de manier hoe zij te werk gaan en omgaan met mijn privacy.
Even voor de duidelijkheid. Het gaat er dus niet om of jij de functie hebt gebruikt of niet. Iemand kon via deze functie jouw token achterhalen en met die token overal waar FB login zit als jou inloggen.

Dit is eigenlijk nog veel erger dan Cambridge Analytica. Facebook verzorgt een universeel login systeem welke ook op heel veel andere sites gebruikt wordt. Nu zat er dus al meer dan een jaar een lek in waarmee volledig toegang tot je account verkregen kan worden. Ik gebruik facebook login al nergens(behalve op FB zelf), maar nu weet ik het zeker. Een centraal login systeem is zo beetje het slechtste idee wat er is.
Als men niet kan bewijzen dat het geen gevolgen had - had het gevolgen. Daar moet u als eigenaar van zo'n account van uitgaan. Dat is beveiliging - al de rest zijn marketing-leugens.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True