Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Tweakers Awards 18/19

Wat vind jij de beste tech- en elektronicaproducten van het afgelopen jaar? De Tweakers Awards stembussen zijn nog drie dagen open. Laat je stem gelden en ontvang 50 ippies. Bovendien maak je kans op een Sony PlayStation 4 Pro 1TB, GoPro Hero 7 of Sonos One.

Stemmen

'Facebook-bug lekte privéfoto's van miljoenen gebruikers aan appontwikkelaars'

Een bug in Facebook heeft ervoor gezorgd dat privéfoto's van miljoenen gebruikers twaalf dagen lang vrij toegankelijk waren voor honderden appontwikkelaars. Het lek dateert van september en is intussen verholpen. Dit meldt de website Recode.net.

Facebook heeft de bug in de Photo-api vrijdagavond zelf wereldkundig gemaakt in een blogpost. Volgens het bedrijf zijn er mogelijk 6,8 miljoen gebruikers door getroffen en heeft het betrekking op 1500 apps van 876 ontwikkelaars. Het gaat voornamelijk om mensen die gebruikmaken van Facebook Login en die third-party apps toegang hebben verleend tot hun fotobibliotheek. Onder die omstandigheden hadden bepaalde applicaties tussen 13 en 25 september mogelijk toegang tot 'een grotere hoeveelheid foto’s dan gebruikelijk', zo klinkt het in de verklaring van Facebook.

"Wanneer een Facebookgebruiker een app toegang verleent tot zijn foto’s, dan krijgt die app doorgaans alleen toegang tot de beelden die op zijn timeline verschijnen. Door deze bug konden ontwikkelaars potentieel echter ook andere foto’s bekijken, zoals beelden op Marketplace of in Facebook Verhalen", gaat de verklaring verder. Hetzelfde geldt voor foto’s die zijn geüpload, maar die nooit daadwerkelijk zijn gedeeld, bijvoorbeeld omdat de verbinding op dat moment te slecht was.

Facebookgebruikers die de dupe zijn geweest van de bug, ontvangen eerdaags een notificatie met een link naar het Help Center van de sociaalnetwerksite. Daar kunnen ze eenvoudig opvragen welke apps eventueel toegang tot hun kiekjes hebben gehad. Voor Facebook is het de zoveelste privacyblunder van het aflopen jaar. Eerder in 2018 ging de dienst de mist in met het per ongeluk ‘unblocken’ van geblokkeerde contacten, was er een bug die de deelopties van gebruikers ongevraagd aanpaste, en kregen hackers toegang tot de privégegevens van meer dan vijftig miljoen gebruikers. Bovendien kwam Facebook in maart in opspraak door een datalekschandaal rond Cambridge Analytica, nadat de gegevens van miljoenen Facebookgebruikers mogelijk gemanipuleerd bleken ten behoeve van de Trump-campagne in 2016.

Door Michel van der Ven

Nieuwsredacteur

14-12-2018 • 19:35

92 Linkedin Google+

Reacties (92)

Wijzig sortering
Dat 'lekken' begint de laatste jaren wel een rekbaar begrip te worden, heeft iemand daar een definitie voor? :)
Volledig met je eens, ik ben geen gebruiker of Facebook fan, maar in deze dagen van alternative truths etc. is het nog belangrijker geworden dat we het bij feiten houden.

Woordkeuzes en hoe men deze interpreteert is enorm belangrijk een definitie helpt daarbij.

In het artikel van over Google+ van een paar dagen schreef tweakers bijvoorbeeld het volgende:
"Google trekt al in april 2019 stekker uit Google+ na recent datalek"

M.i. is de titel niet correct gezien het een ongefundeerde claim is dat er data is gelekt. Er was enkel sprake van een kwetsbaarheid.
Je zou kunnen stellen dat de api ansich lek was, maar dat is wat anders dan een "datalek" (het lekken van data).

En ook de titel van dit artikel is m.i. niet correct.
'Facebook-bug lekte privéfoto's..."
Het artikel geeft niet aan waaruit blijkt dat de foto's gelekt zijn. Ook hier zou je kunnen stellen dat de api lek is, maar dat is wat anders.

Simpele analogy:
Bij inspectie van een afvoerbuis (api) blijkt dat er een gaatje (bug) aan de bovenkant van de buis zit: dit betekent dat de buis lek is maar zeker niet dat de buis water (gegevens) lekte.

In het geval van de google+ bug: de buis staat weinig druk op de buis (weinig gebruikers/ontwikkelaars) en is het dus helemaal niet gezegd dat er water uit de bovenkant van de buis is gelekt. In het geval van deze FB bug staat er natuurlijk wel veel druk op de buis en is de kans relatief groot dat er wel degelijk uit gelekt is.

Maar als Tweakers zijnde: als het aannemlijk is dat er gegevens gelekt zijn, zeg dat dan. Maar gebruik geen termen die afbreuk doen aan de betekenis ervan en fundamenteel iets anders betekenen.
Volgens de Autoriteit Persoonsgegevens:

De term ‘datalek’ komt niet voor in de wet. In de plaats daarvan heeft de Algemene verordening gegevensbescherming (AVG) het over een ‘inbreuk in verband met persoonsgegevens’.

Hiervan is sprake bij een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens (Artikel 4, punt 12, AVG).

Er zijn drie categorieën datalekken te onderscheiden:

Inbreuk op de vertrouwelijkheid
Wanneer er sprake is van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.

Inbreuk op de integriteit
Wanneer er sprake is van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.

Inbreuk op de beschikbaarheid
Wanneer er sprake is van een onbevoegd of onopzettelijk verlies van toegang tot, of vernietiging van, persoonsgegevens.

Een datalek kan, afhankelijk van de omstandigheden, in meer dan één van deze drie categorieën vallen.
Wacht, je geeft aan dat de term datalek niet voorkomt in de wet om vervolgens te suggereren dat de wet 3 categorieen van datalekken onderscheidt ;)

Nu heb je onbedoeld het begrip datalek nog verder opgerekt door bijvoorbeeld de wijziging of het verlies van gegevens er ook onder te scharen...
Dit kopieer ik letterlijk van de website van de Autoriteit Persoonsgegevens, die wellicht niet helemaal consistent zijn, maar ik rek het begrip dus sowieso niet op...

Daarnaast, ze geven dus aan dat de letterlijke term "datalek" niet als zodanig bestaat, maar wel wat er - volgende de wettelijke bepalingen - onder geschaard moet worden.

Prima dat je bijdehand wilt doen, maar vraag dan niet om meer uitleg...

[Toevoeging en kleine correctie]
Jij geeft aan dat ik suggereer dat de wet 3 categorieën onderscheidt, maar in dat kopje heb ook ik het niet over de wet.

[Reactie gewijzigd door cs-tweak op 16 december 2018 00:58]

"we-just-call-it-a-bug-when-they-find-our-special-code" 8-)
En het blijft maar doorgaan hé. Kunnen we als maatschappij dat hele Facebook gebeuren eens achter ons laten en een alternatief opzetten dat privacy wel kan respecteren?
Nee.

Ga er maar vanuit dat èlk platform dat gericht is op het delen van content op wat voor manier dan ook (ooit) lekken zal bevatten.

We kunnen wel met ons privacyvuistje blijven zwaaien maar je hebt eigenlijk 2 keuzes om 'schade' te voorkomen:
- Social media vermijden;
- Content waarvan je niet wil dat deze op straat belandt NOOIT delen.

We kunnen 'maar onze privacy!' blijven miepen, maar dat helpt niet. Denk gewoon een beetje na.
Nee.

Ga er maar vanuit dat èlk platform dat gericht is op het delen van content op wat voor manier dan ook (ooit) lekken zal bevatten.

We kunnen wel met ons privacyvuistje blijven zwaaien maar je hebt eigenlijk 2 keuzes om 'schade' te voorkomen:
- Social media vermijden;
- Content waarvan je niet wil dat deze op straat belandt NOOIT delen.

We kunnen 'maar onze privacy!' blijven miepen, maar dat helpt niet. Denk gewoon een beetje na.
idd gewoon ver van weg blijven van social media.. Dit houd nooit op.. Maar zover ik weet hebben al een hoop mensen FB verlaten..
Ik heb het verlaten twee maanden geleden. En het bevalt mij uitstekend! Mensen denken snel dat ze de nieuwtjes missen, ik heb daar een antwoord op: hou je alleen maar bezig met jouw eigen familie en vriendenkring. En bel eens elkaar of zoek elkaar op in real life.
- Content waarvan je niet wil dat deze op straat belandt NOOIT delen.
Precies dit..., en niet alleen "niet delen" maar gewoon nooit uploaden naar/op internet, waar dan ook.
Het lekt overal...
Maar met al die trackers overal, deel je onbedoeld dingen die je niet wilt delen.

Zelfs als jij midget porn kijkt is facebook mee aant kijken. Of zoekt naar alternatieve overtuigingen etc.... Het gaat verder dan "wat je zelf deelt"
Gewoon proberen om digitale en fysieke gegevens te vermijden. In WO2 wisten ze ook niet hou gauw ze de registers moesten verbranden
Was inderdaad heel handig dat we documenten hadden waarop met naam en toenaam op stond wie welk geloof aanhing.
Wachten op het standaard FB excuus™.

Maar FB lapt steeds (per ongeluk) de regels aan de laars die bepaalde "privacy" moet waarborgen..

Ja "Sociale Media" is een soort contradictie, maar ook "Sociale Media" heeft wat regels vwb omgang met privacy gevoelige informatie, er mag een minimale bescherming verwacht worden, en FB overtreed die regels vaak eenzijdig. ("per ongeluk")

[Reactie gewijzigd door obimk1 op 16 december 2018 00:49]

Content waarvan je niet wil dat deze op straat belandt NOOIT delen.
Maar Facebook verzameld niet enkel de content dat jij kiest met hen te delen. Die verzamelen veel meer.
Mijn hele contactenlijst met telefoonnummers zou ik ook nooit delen, maar indien je de Facebook app op je telefoon hebt staan kan je er vrij zeker van zijn dat Facebook die ook heeft.
Dat is wel een beetje kort door de bocht.

Er bestaan gedecentraliseerde social media platforms. Disaspora bijvoorbeeld, of Minds.
Enige wat ik kan bedenken is alles afschaffen, en enkel fora en wikipedia-achtige website toestaan. Alleen dat zal wel leiden tot censuur en hokjesgedrag.

Als je anders denkt dan 'poef' uitgesloten van deelname, ofzo . 8)7
Dat is op Facebook toch niet wezenlijk anders? Als een groep-moderator je uitspraken niet tof vind lig je er ook uit.

Bij timelines van personen is dat misschien iets anders, maar die ga je niet vervangen met een forum. Dat zou ik eerder verplaatsen naar een WhatsApp Status ofzo.
Met zo'n mentaliteit zou ik gelijk zeggen: Het internet afschaffen ;)
Snap eigenlijk niet dat er een alternatief zou moeten komen. We zijn als samenleving beter af zonder zaken als FB. Delen kunnen we al onderling, en serieuze discussies voeren, daar zijn ook sites voor.
Ehm... je zit niet op Facebook voor je privacy
Heb jij nog Facebook?
Laten we gewoon weer afspreken in de kroeg,bij de bios of bij iemand thuis i.p.v facebook. Owja wacht dat doe ik al en bevalt prima
Ik doe beide (zoals de meeste), en dat bevalt ook prima.
Waarom zou je moeten kiezen?
Dronken sloeber of niet, ik weet mijzelf er prima te vermaken.

En het mooiste is, als er wat lekt dan ben ik het zelf (op het toilet). :P
De eerste kroeg die geen water of fris serveert moet ik nog tegenkomen. En niet elke kroeg is gevuld met zwetende hossende jongeren die een stoeipartner zoeken. Er zijn er zat waar je lekker kunt zitten en een goed gesprek kunt voeren.
Wanneer een Facebookgebruiker een app toegang verleent tot zijn foto’s
Tja, wees verstandig met je privé gegevens. Het feit dat je een 3rd party toegang geeft tot je foto's, waarvan de gebruiker waarschijnlijk de privacy voorwaarden nooit heeft gelezen.. daar gaat het al mis.

Die 'paar' extra foto's die ze nu toegang tot hadden maakt dan ook niet meer uit :P
Als je een app hebt om foto's te bewerken, is het logisch dat deze bij je foto's moet kunnen. (Het valt overigens niet echt te vergeven als bijvoorbeeld CandyCrush toegang tot je foto's, leeftijd vraagt en je deze lukraak weggeeft (geen idee of dit het geval is)).

Je kan daarnaast zelfs wel de privacyvoorwaarden gaan lezen, maar daar heb je alleen iets aan als de app-ontwikkelaar te vertrouwen is... Immers was in dit geval ook een fout bij facebook, als iemand dan kwaad wil heeft die alsnog open spel.

Facebook (of de app) zou je eigenlijk per foto toestemming moeten geven, als je bijvoorbeeld een profielfoto wil veranderen, wil je niet dat de app alle andere foto's ook kan inzien. De permissies zijn eigenlijk altijd te algemeen en men moet alsnog de ander kunnen vertrouwen...
Dat geldt voor alle permissies in mijn ogen. Apps vragen op Android net zo goed lukraak permissies die helemaal niets van doen hebben met de app zelf.
Dit dus. Ik vind dat ook altijd erg bijzonder als het over privacy gaat terwijl de statistieken laten zien dat het leeuwendeel van de tweakers Android gebruikt voor hun mobiel, het platform waar achtelijke permissies dagelijkse kost zijn
Wat bedoel je precies met achterlijke permissies?
Een flashlight app die toegang moet hebben tot jouw agenda bijvoorbeeld.
Er zijn recentelijk weer wat van dat soort apps uit de play store gemikt. Icontorch vraagt niets volgens mij.
Dat is alleen voor apps waarvoor je geen geld hoeft te betalen. Die betaal je dus op een andere manier, zo vreemd is dat niet. Het is eerder naïef om te denken dat een app echt gratis is (in de meeste gevallen).
Als je foto's wilt bewerken zou ik daar nooit een 3rd party facebook app voor vertrouwen.
Het merendeel van de app's op facebook zijn alleen maar uit om gegevens te minen en hebben privacy voorwaarden waar je absoluut niet blij van kan worden.

Foto's bewerken kan perfect met een lokale (eventueel open-source) applicatie op de telefoon of computer ;)
Het merendeel van de app's op facebook zijn alleen maar uit om gegevens te minen
Daar, even voor je verbeterd. Apps in het algemeen zijn niet te vertrouwen. Apps zijn een flinke stap terug in de tijd. Ging vorig decennium juist de goede kant op richting websites/webapps (die netjes in een browsersandbox gescheiden van de rest van het systeem draaien), is het nu weer compleet omgedraaid en moet er weer perse native software geschreven worden, die, iit websites, overal bij kan waar ze om vragen (de meeste mensen klikken toch overal op ok).

Vooral apps van commerciele partijen moet je niet op je apparaat willen. Dat is altijd ofwel reclame ofwel gegevens verzamelen.
Maakt dat nog zo veel uit dan? Het is niet alsof als je een android toestel koopt en je denkt van "nja, mijn locatie is niet z'n probleem om 24/7 aan google door te sturen zonder dat ze het me vragen". Privacy is echt veels te lastig geworden met deze 2 vreselijke monsters aan tech companies.
Ik vind je reactie nogal vreemd omdat je van het slachtoffer de dader maakt. Als je rechten hebt die alleen met uitdrukkelijke toestemming anders kunnen zijn, dan is het de partij die zich niet aan die toestemming en de rechten blijkt te houden die daar verantwoordelijk voor valt te houden. Dat het handig is om vooraf te bedenken of je genoeg vertrouwen in die partij hebt is een heel andere vraag. Je kan namelijk prima vertrouwen in een partij hebben die later door onbedoelde fouten zich niet aan de regels blijkt te houden.
En hoe weten wij dat zij aan de regels houden ?gvd FB en de rest (google) doen wat hun willen.....sta er echt niet van tekijken dat dit gebeurd.zelfde verhaal in nieuw jasje.

Maar goed het kwartje wil niet vallen schijnbaar.

[Reactie gewijzigd door noway op 14 december 2018 23:41]

Dat weet je toch bij geen enkele dienstverlener tot iemand het aan kan tonen of ze er zelf mee komen?
Toegang tot de verkeerde mappen kan ik me nog voorstellen als bug, maar toegang (of sowieso bewaren van) "foto’s die zijn geüpload, maar die nooit daadwerkelijk zijn gedeeld" vind ik zo bizar.
Ik niet.
Het is inmiddels de norm.
Ik wel.
Het is immers geen norm.


Een norm is een regel die gespecificeerd is en waaraan de partijen die zich in die norm kunnen vinden aan wensen te voldoen. De flauwekul van ongeschreven regels buiten beschouwing gelaten, er is geen norm die dit beschrijft en iedereen zich aan wenst te houden die foto's upload.
Ik gebruik het meer zoals het in de wiskunde is gedefinieerd.
Wij (consumenten, werknemers enz.) doen er toch nét zo hard aan mee? Door redenen te verzinnen om iets niet (zorgvuldig) te doen;
- uit desinteresse
- uit redenen te denken voor het bedrijf ("tijd is geld")
- niet te weten wat de regels zijn (vanuit bedrijf, vanuit overheid enz.)
- enz.
het de zoveelste privacyblunder van het aflopen jaar
En dan vraag je je af, how much is enough?

Maarja, hoe fout ze ook gaan, zolang er geen bewustwording is bij de gebruikers, komen ze er ook nog mee weg.
Het is niet alleen bewustwording, volgens mij is een behoorlijk deel van de gebruikers redelijk bewust van de gevaren, maar ook simpelweg een gebrek aan een alternatief.
En nee, Hyves telt niet ;)
Dat is het ook. Niemand die er direct nadeel van heeft. Of indirect. Zo reageert 99,999% van de userbase.. en feitelijk is dat ook zo. Het is knullig, en slordig, maar .. er gaat niemand dood aan.
Toen ik Facebook nog gebruikte vond ik dat Facebook en Google login maar een onveilig idee. Daarom altijd aparte logins and ww’s gebruikt. Dit is al de tweede keer dat ik daar blij om ben.

De eerste keer was omdat ik stopte met het gebruik van Facebook en dus geen last had van logins die niet meer werkten.
Maar deze onbedoelde toegang heeft niets met het hebben van aparte logins en ww te maken. Om bij je fotos te kunnen hebben ontwikkelaars jou ww niet nodig en in het geval van deze security blunder niet eens je toestemming.
Blijft altijd een risico voor bedrijven als Facebook en Google, hun businessmodel is nou eenmaal het verzamelen van privacygevoelige data en deze gegevens hoarden Google en Facebook en zodra Facebook en Google dus een vulnerability hebben komen daar andere onfrisse bedrijven op af.

[Reactie gewijzigd door alfredjodocus op 14 december 2018 20:05]

"Hetzelfde geldt voor foto’s die zijn geüpload, maar die nooit daadwerkelijk zijn gedeeld, bijvoorbeeld omdat de verbinding op dat moment te slecht was."

Dacht dat Facebook me niet meer kon verassen :+
Nou inderdaad. Als de foto te slecht was om te uploaden, waarom kon die derde partij hem dan binnen hengelen? *zucht*
Jemig, dat hele FB gebeuren maakt er wel een zooitje van zeg de laatste tijd. Wat gaat AP hier tegen doen eigenlijk? Je mag er toch vanuit gaan dat wat op prive is gezet dat het ook daadwerkelijk prive is, maar schijnbaar zijn er tig onderliggende toegangsdeurtjes om het toch te kunnen bekijken.
Privéfoto's op Facebook is natuurlijk een contradictio in terminis :P
Vraag me af wie zijn persoonlijke gegevens,dagelijkse bezigheden, activiteiten en foto's privé foto's op FB zet, dat is toch vragen om problemen.
Inmiddels is FB menig keer in het nieuws met lekken en het delen van informatie.
menig persoon vergeet, en het is zeker FB niet alleen die weer meldt is is een bug gevonden
Het verkrijgen van persoonsgegevens inmiddels een bron van inkomen
en niet alleen FB.
Zet automatische achtergrond-backups in Google Foto's uit
Google blijkt foto's ook ná verwijderen op te slaan
https://www.computeridee....kups-in-google-fotos-uit/

Als ik kijk wat er gebeurd als ik bepaalde apps uit zet werken sommige apps op mijn smartphone niet meer.
Het wordt echt tijd dat dat hier een wet voor moet komen en dat het verspreiden, verdelen,verkopen van persoonsgegevens grote boetes staan.
Mocht dit weer gebeuren dan is het einde bedrijf.
Als ik de laatste jaren zie, wat en wie mij mailt met reclame ongevraagd aanbelt
zogenaamd als energie maatschappij voor de meterstand , staat er een of andere sukkel aan de deur met bla bla bla verkoop verhaal, met een logo van de NUON op zijn jack en laat zelfs nog zijn I.D zien van NUON
Dan nog maar te zwijgen over de vaste telefoon die ook nog regelmatig avonds rinkelt.
Wie wordt er nu eigenlijk beschermt in deze tijd als het gaat over persoon bescherming.
deze wereld is helemaal naar de Kl.... inclusief overheid en instanties een grote corrupte boevenbende.

[Reactie gewijzigd door Jeroen hofman op 15 december 2018 11:20]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True