Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Facebook logde ook wachtwoorden van miljoenen Instagram-accounts in plain text

Facebook heeft ook wachtwoorden van miljoenen Instagram-gebruikers in plain text gelogd en opgeslagen op interne servers. Gebruikers worden op de hoogte gesteld. Eerder maakte het bedrijf al bekend dat dit gebeurde bij honderden miljoenen Facebook-accounts.

Facebook heeft zijn nieuwsbericht van maart een update gegeven. Daarin staat nu dat er logs zijn gevonden met Instagram-wachtwoorden in een leesbaar formaat. Facebook schat dat het gaat om wachtwoorden van 'miljoenen' gebruikers.

Als het wachtwoord van een gebruiker in plain text was opgeslagen, krijgt die gebruiker daar nu een melding van, zegt Facebook. Volgens Facebook heeft eigen onderzoek uitgewezen dat de wachtwoorden niet intern zijn misbruikt en dat er ook geen ongeoorloofde toegang is geweest.

Eind maart bracht Facebook naar buiten dat het jarenlang wachtwoorden van tweehonderd miljoen tot mogelijk zeshonderd miljoen gebruikers in platte tekst heeft gelogd en opgeslagen op interne servers. Meer dan twintigduizend medewerkers konden die doorzoeken. De onversleutelde opslag gebeurde door een reeks beveiligingsfouten in applicaties die wachtwoorden logde. Dat werd door een anonieme Facebook-medewerker naar buiten gebracht, waarna Facebook dat bevestigde. Ook toen zei Facebook geen aanwijzingen gevonden te hebben voor misbruik.

Door Julian Huijbregts

Nieuwsredacteur

18-04-2019 • 20:10

111 Linkedin Google+

Reacties (111)

Wijzig sortering
Ben benieuwd wat de avg/gdpr hierover zegt. Mega boetes? Oh wacht het is de overheid/Europese overheid zal waarschijnlijk Zuckerberg weer vragen om op bezoek te komen zonder kritische vragen te stellen en alles was weer zoals het was... :z |:(
Meer dan twintigduizend medewerkers konden die doorzoeken.
Schandalig! En dan zeggen dat uit "intern onderzoek" is gebleken dat de wachtwoorden niet zijn misbruikt.

Hoe hebben ze dat onderzocht? Zou er een medewerker zijn die toe zou geven het wachtwoord van die leuke meid, die vervelende buurman of wie dan ook opgezocht te hebben en ergens anders voor gebruikt te hebben?

Vergeet trouwens niet dat WhatsApp ook van Facebook is! Dus ook al heb je facebook verwijderd, maar je hebt WhatsApp nog, ga er dan maar vanuit dat de gesprekken, foto's, en audio die je deelt voor altijd op de facebook servers zal blijven staan en door duizenden interne medewerkers te bekijken zijn.
Dit is een probleem voor mensen die hetzelfde wachtwoord op verschillende sites gebruiken, dat is zowizo al niet zo slim.
Tijd om dat rotbedrijf op te doeken en de schuldigen de bak in te flikkeren.
Het is niet goed te praten, maar om hier nou te doen alsof dit schokkend is? En ik vraag me oprecht af hoeveel tweakers continu bezig zijn met de veiligheid van hun gegevens. En of ze bij elke app die ze installeren via een store uitpluizen wat er met hun credentials en/of toestemming voor gebruik van locatie, adressenboek, etc... gebeurt? Realitycheck: De meeste mensen zouden wel nee zeggen tegen een willekeurige persoon op straat of aan een toonbank die vraagt of ze bepaalde persoonlijke gegevens zouden mogen inzien. En de meeste mensen, ook tweakers, accepteren het wel bij al die apps die ze "nodig" hebben.
Gebruikers moeten ook zelf verantwoordelijkheid nemen, door overal een uniek wachtwoord te gebruiken.
Nieuws zoals dit komt regelmatig naar buiten. Als je zelf je "master-password" overal gebruikt, komt het vroeg of laat op straat te liggen.
Ik krijg graag die lijst... en dat met name gegevens van een oud account van me waarvan ik de login ben kwijtgeraakt/vergeten. Zelfs het geregistreerde email-adres klopt niet meer. Insta helpt je daarmee natuurlijk niet dus zou ik op die manier mijn gegevens weer terug kunnen lezen... maar goed, ijdele hoop natuurlijk.
Dit zag je gewoon aankomen hoor, niks schokkends meer aan.
"As part of a routine security review in January, we found that some user passwords were being stored in a readable format within our internal data storage systems."

Sinds wanneer gebeurt dit exact? In het eerdere artikel op Tweakers staat dat dit al sinds 2012 gebeurt, maar in het persbericht van Facebook wordt daar niks over gezegd.

Dit is relevant voor de manier waarop je gebruikers op de hoogte gaat stellen. Ga je de getroffen gebruikers via e-mail op de hoogte stellen of wanneer ze inloggen via Facebook? Indien het laatste het geval is, hoe ga je dan om met gebruikers die inmiddels geen gebruik meer maken van Facebook? Of vallen deze laatste gebruikers niet meer onder de term "gebruikers".

Facebook zelf specificeert dit niet:
"We estimate that we will notify hundreds of millions of Facebook Lite users, tens of millions of other Facebook users, and tens of thousands of Instagram users."

Daarnaast wordt er gesproken over logs (inzake Instagram) en internal data storage systems (inzake Facebook Lite, Facebook & Instagram). De term "internal data storage systems" kan veel omvatten, inclusief de data storage voor de login systemen.

Dit kan dan ook tegenstrijdig zijn met de volgende claim van Facebook in het zelfde persbericht:
"In line with security best practices, Facebook masks people’s passwords when they create an account so that no one at the company can see them"

De volgende claim is nog wel de kers op de taart:
"There is nothing more important to us than protecting people’s information, and we will continue making improvements as part of our ongoing security efforts at Facebook."

Dit is natuurlijk klinkklare onzin. Het belangrijkste voor Facebook is het verzamelen van gebruikersinformatie om dit vervolgens te monetariseren. Om zoveel mogelijk gebruikersinformatie te kunnen verzamelen moet er vertrouwen zijn in Facebook vanuit de gebruikers en daarnaast willen ze zo min mogelijk externe invloed op hun bedrijfsvoering (lees bemoeienis vanuit overheid in de vorm van wetgeving).

Als ze het echt belangrijk zouden vinden om de gebruikersinformatie te beschermen zouden ze veel meer openheid van zaken geven (minder vaag zijn).

[Reactie gewijzigd door NNuGI op 19 april 2019 12:11]

Ik kan wel een beetje volgen wat er gebeurt,. Instagram draait op Django. In Django moet je écht moeite doen om wachtwoorden in plain text optie kinnen slaan. Maarrrrrrr.... wat ik al heb gezien is dat de LDAP module die je óók kunt gebruiken, vrolijk wachtwoorden in plain text logged. (Wordt je niet vrolijk van als je je eigen ww ineens in je app logs tegen komt)

Kortom, afhankelijk van de security van het authenticatie backend kan er dus alsnog vanalles mis gaan in logs. Voor zover ik begrijp zijn het dus deze interne logs die een probleem zijn

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True