Facebook stuurt gebruikers melding als ze login gebruiken voor apps van derden

Facebook kondigt een nieuwe loginfunctie aan, waarmee gebruikers volgens het bedrijf meer controle krijgen over hun informatie. Als ze hun Facebook-logingegevens gebruiken om in te loggen bij apps van derden, stuurt Facebook de gebruikers een notificatie.

Facebook heeft deze optie de naam Login Notifications gegeven. Zodra een gebruiker zijn Facebook- login gebruikt voor een app buiten Facebook, volgt via de Facebook-app en het e-mailadres van de gebruiker een melding.

In deze melding staat wat voor informatie Facebook met de app of website heeft gedeeld, zoals een e-mailadres, naam of profielfoto. Gebruikers kunnen via de melding van Facebook ook direct hun instellingen aanpassen, zodat de permissie van de app om deze gegevens te verkrijgen, wordt geblokkeerd.

De notificatie verschijnt in twee situaties: als een gebruiker via Facebook inlogt op een app van derden en deze app toegang heeft gegeven tot zijn informatie, maar ook nadat een gebruiker opnieuw op een app inlogt met zijn Facebook-logingegevens, terwijl de app op dat moment geen toegang meer heeft tot de persoonlijke informatie.

IT-banen

Reacties (31)

laptopleon 15 januari 2020 11:26

Dit roept nogal wat vragen op. Gaat die app van derden dan niet weer op slot? Zoniet, waarom wordt deze info dan überhaupt gedeeld? Alleen omdat die optie niet wordt geboden op het moment van inloggen? Waarom niet dáár die optie alsnog toevoegen dan?

Je kan toegang achteraf weer voor die derden-app, maar heeft die intussen niet allang alles waar ze bij kunnen opgevraagd? En veel info verandert nooit of zelden.

Komt op mij over alsof FB dit eigenlijk niet echt wil veranderen. Ze weten dat gebruikers deze mailtjes oninteressant vinden en ze massaal zullen negeren.

P_Tingen 15 januari 2020 10:02

Ik heb er nooit een gewoonte van gemaakt om met de login van de een in te loggen in de ander. Het geeft naar mijn idee een extra risico, zeker wanneer je een Facebook-account gebruikt. Als het mogelijk is, maak ik altijd een apart account aan voor een dienst en genereer met mijn wachtwoordmanager een nieuw wachtwoord.

Voor wie wel zijn FB login gebruikt lijkt me dit een waardevolle aanvulling overigens.

[Reactie gewijzigd door P_Tingen op 22 juli 2024 19:02]

XephireUK @P_Tingen • 15 januari 2020 10:20

Mee eens. Ik heb een eigen email domain en maak voor elke nieuwe login een eigen email adres aan (bijv. tweakers_20200115@mijndomein.com) en gebruik een wachtwoordmanager om een lang uniek wachtwoord te genereren. Waar mogelijk zet ik 2FA ook aan.

Zelfs al zou je weten dat ik bij de ABN zit, dan zou je hoogstens nog kunnen raden dat het abnamro_nogiets@mijndomein.com moet zijn, maar de datum is iets dat je niet snel zult raden.

Voor de emails heb ik een catch-all email account zodat alles dat niet een "eigen" email heeft daar naar toe wordt gestuurd. Hierdoor kan ik "on-the-fly" email adressen aanmaken en hoef ze niet eerst op te zetting in mijn email domain. Zo zal XephireUK@mijndomein.com naar 1 mailbox gaan, maar de tweakers_20200115 naar een andere. Enige is dat ik niet kan replyen van het tweakers_20200115 email adres, maar dat is meestal niet nodig.

Jim80 @XephireUK • 15 januari 2020 11:08

Ik doe dat ook zo, alleen gebruik ik bijvoorbeeld from_tweakers@mijndomein.be
Als je ergens je mail adres face 2 face moet geven, kijken ze meestal wel eens raar.
Bijkomend voordeel is dat je zo kan zien welke bedrijven je e-mail adres lekken naar commerciële partners of zelfs spammers. Als je dan op en spamlijst terecht komt, kan je eenvoudig dat e-mail adres blocken.

Zo is dat ooit gebeurd met mijn account van de electriciteitsmaatschappij, op een gegeven moment kreeg ik daar spam op. Waarschijnlijk is hun database gehacked, dit zegt dan weer iets over hoe goed alles beveiligd is....

mjz2cool @Jim80 • 15 januari 2020 11:54

Als je spam krijgt wil dat niet zeggen dat er een database is gelekt, het kan ook zijn dat het toeval is. Spam wordt naar zoveel mogelijk willekeurige mailadressen gedaan, zowel naar bestaande als niet bestaande mailadressen.

Jim80 @mjz2cool • 15 januari 2020 14:03

Klopt, maar in dit geval was het from_electrabel@mijndomein.be dat is wel héél specifiek om random te zijn

XephireUK @Jim80 • 15 januari 2020 14:22

Klopt, ik geef soms een email adres op in de winkel voor garantie o.i.d en dan vragen ze "Oh, je werkt ook voor dit bedrijf?". Nee, de bedrijfsnaam is voor @ niet erachter...

Hacken/spam doorverkoop is ook 1 van de redenen dat ik dit zo doe. Ik host mijn email bij Google zodat zij de spamfilter doen, maar ik kan altijd zien als het wordt doorverkocht door een website/ is gehackt.

rkeet @Jim80 • 16 januari 2020 14:13

Waarschijnlijk weten jij en @XephireUK het al, maar zou voor anderen (zonder eigen domein) een toevoeging kunnen zijn:

Wat zij hierboven doen werkt met elk email adres met een kleine aanpassing, namelijk door een "+" teken.

Wat voorbeelden die allemaal sturen naar "ontvanger@domein.com":

ontvanger+tweakers@domein.com
ontvanger+nu.nl@domein.com
ontvanger+president_van.amerika@domein.com

Alles achter de "+" wordt genegeerd en dient dus alleen voor de ontvanger als identificatie.

Indien een door-/versturende partij hier rekening mee houdt kan alles vanaf de "+" tot de "@" natuurlijk wel uit 't adres gesloopt worden (wat bij van de methodes van @Jim80 en @XephireUK niet kan). Maar zelfs een Have I Been Pwned houdt geen rekening met "Plus aliasing" (zie: https://haveibeenpwned.com/FAQs, even zoeken op "plus aliasing"), want:

[..] usage of plus aliasing is extremely rare, appearing in approximately only 0.03% of addresses loaded into HIBP

Anyway, fijne dag nog

XephireUK @rkeet • 16 januari 2020 14:50

Werkt vaak ook, maar ik ben een grote winkel in Londen tegengekomen die geen "-" toestond in hun emails. Mijn domein heeft een minnetje erin staan, en dat werd niet geaccepteerd. Mijn oude gmail was geen probleem. Het is dus ook mogelijk dat de email validatie geen "+" toestaat in het email adres en alleen {0..9,a,.z,A..Z,@,".") oid. Goede email validatie regels zijn moeilijk, maar wel te vinden op internet.

Jim80 @XephireUK • 16 januari 2020 15:58

Extreem frustrerend.... ik kom het ook regelmatig tegen op internet, ook van grote organisaties, dat ze mijn e-mail adres niet aanvaarden (of liever gezegd, de slecht geschreven software het niet aanvaardt).

En in mijn adres komen zelfs geen speciale tekens, wel is mijn domeinnaam slecht 3 karakters lang (zonder TLD). Er zit wel een cijfer in het midden, dus zoiets als mail@x2y.be Blijkbaar vinden sommigen dat dat niet kan.....

rkeet @XephireUK • 17 januari 2020 08:34

Ja klopt, maar die maken ook gebruik van shitty bij elkaar gehackte websites gemaakt door 't neefje op z'n Pentium III dat nog op zolder staat.

Elk standaard framework & cms implementeerd namelijk gewoon de RFC (https://tools.ietf.org/html/rfc2822 of nieuwere https://tools.ietf.org/html/rfc5322) wanneer je een form input als "email" definieerd :-)

Wanneer je dus afwijkinging tegenkomt moet je je ook ten zeerste afvragen of je wel/niet die website wilt gebruiken / daar gegevens wilt achterlaten.

XephireUK @rkeet • 6 februari 2020 16:11

Dit was PC World, de grootste keten in UK voor computers. Met eigen geschreven voorraad system gok ik, Dus het zijn niet altijd de kleine shops die dit probleem hebben.

rkeet @XephireUK • 7 februari 2020 14:15

Dus het zijn niet altijd de kleine shops die dit probleem hebben

Klopt. Wanneer je het bij de grotere ziet zijn 't echter wel vaak bedrijven die langer bestaan. Hoogst waarschijnlijk een geval van legacy.

Brengt me weer bij:

Wanneer je dus afwijkinging tegenkomt moet je je ook ten zeerste afvragen of je wel/niet die website wilt gebruiken / daar gegevens wilt achterlaten.

AartGoossens @XephireUK • 15 januari 2020 11:24

Alternatief is om van de "+-aliasses" van bijvoorbeeld gmail gebruik te maken (bijvoobeeld foo+tweakers@gmail.com). Veel e-mail providers ondersteunen dit inmiddels. Op deze manier hoef je geen aparte email-adressen aan te maken.
Bijkomend voordeel (maar dat geldt ook voor jouw methode) is dat je direct kunt zien wanneer een website jouw e-mail adres aan een ander bedrijf verkoopt om reclames te sturen.

JPDeckers @AartGoossens • 15 januari 2020 12:05

En zoals iedere spammert drop ik dan gewoon alles vanaf de + tot aan de @
Dit was een paar jaar geleden nog wel effectief, maar tegenwoordig echt niet meer. Behalve voor domme spammers.

AartGoossens @JPDeckers • 15 januari 2020 12:21

Dat is niet mijn ervaring. Dat betekent dus dat er erg veel domme spammers op deze wereld zijn...

Cartman!

@AartGoossens • 15 januari 2020 19:32

Helaas zijn er nog steeds diverse websites die dit (onterecht!) als een ongeldig emailadres herkennen. In dat opzicht is een eigen domein met catch all toch wel erg praktisch.

Nachtkastje @XephireUK • 15 januari 2020 10:22

Dit is zeker een handige methode, echter zou ik gewoon random getallen doen ipv een datum.

XephireUK @Nachtkastje • 15 januari 2020 14:20

In het begin deed ik dat ook (_001, _002, etc). Probleem is dat ik op een gegeven moment niet meer wist waar ik was in de telling

Door een datum te gebruiken weet ik 1) wanneer ik me voor de website heb geregistreerd en 2) als de website werd gehackt in het verleden en het komt nu uit, dan weet ik of ik voor of na de hack mij geregistreerd had. Ik reset mijn wachtwoord toch wel, maar geeft iets meer zekerheid.

Gameboy @XephireUK • 15 januari 2020 10:25

Enige is dat ik niet kan replyen van het tweakers_20200115 email adres, maar dat is meestal niet nodig.

Dat is eenvoudig te doen door ofwel simpelweg het "from" adres aan te passen in je mailclient in het compose-venster, of door een extra "identity" toe te voegen die je dan kunt kiezen uit een dropdown, een en ander afhankelijk van je mailclient

Thunderbird kan het in ieder geval!

Reezy @XephireUK • 15 januari 2020 11:06

Ik ben sinds een paar maanden begonnen met AnonAddy, dit is een gratis open source service waarmee je met aliassen kunt werken. Ik kan op elke willekeurige website een mail aanmaken met bijvoorbeeld tweakers@reezy.anonaddy.com, als er dan gemaild wordt op dat adres wordt er automatisch een alias aangemaakt en wordt dit doorgemaild (optie tot pgp versleuteling) naar je eigen mailservice. Als je ook je username niet zichtbaar wilt hebben is er ook de mogelijkheid tot het genereren van UUID's, maar dit is uiteraard iets meer werk dan gewoon ergens een emailadres typen en zo automatisch een alias aan te maken.

Zo hoef je nergens je eigen mailadres achter te laten en kun je in een overzicht precies zien hoeveel mails er per welke alias gestuurd worden en als je spam krijgt via een alias of je wilt een alias verwijderen of blokkeren kan dat.

Zo heb ik per service een uniek mailadres, dit in combinatie met een gegenereerd wachtwoord uit de wachtwoordmanager, tot zo ver werkt dit top.

theo98 @XephireUK • 15 januari 2020 12:00

Okee. Maar het feit dat jij je eigen domein gebruikt maakt het niet minder traceerbaar wie jij bent, het is misschien zelfs makkelijker.

onecht

@P_Tingen • 15 januari 2020 10:28

Je hebt tegenwoordig zelfs apps waarmee je alleen met Facebook kan inloggen. Te gek voor woorden. Deze sla ik dan ook over..

Wraldpyk @onecht • 15 januari 2020 12:41

Gelukkig is dat op iOS nu niet meer mogelijk. Elke app moet nu, als ze sociale login opties hebben, ook Apple Login aanbieden. En dat heeft weer als voordeel dat je een anoniem e-mail adres kan gebruiken.

timberleek @P_Tingen • 15 januari 2020 10:34

Het voordeel kan wel zijn dat je niet hoeft te vertrouwen op de security van allerlei verschillende partijen maar 1 "goede" partij kan kiezen.

De site waar je zo'n inlogsysteem gebruikt heeft immers een stuk minder kritische data van je in een potentieel slecht beveiligde database.

Maar vervolgens ligt het risico wel bij 1 partij, wat evt weer een privacy issue met zich meebrengt.

Pick your poison

ps: afgezien van de overigen opties natuurlijk

PB-powell @P_Tingen • 15 januari 2020 10:40

In het begin toen ik FB nog veel gebruikte heb ik dit regelmatig gedaan 'omdat het makkelijk is'. Achteraf ben ik er niet blij mee. Tegenwoordig doe ik dit ook niet meer en gebruik ik altijd mijn e-mailadres als account.
Maar het is zeker een nuttige toevoeging, hierdoor krijg je beter overzicht waarmee je je FB-account gekoppeld hebt en mocht je je willen uitschrijven weet je ook direct waar je moet zijn om je account aan te passen.

SPOXYWOXY 15 januari 2020 10:54

Betekend dit nou dat als ik op een website inlog met een Facebook login, dat ik daar elke keer een notificatie van ga krijgen?

DigitalExorcist @SPOXYWOXY • 15 januari 2020 11:00

Je kan nog steeds "Vertrouw deze browser" aanvinken.

Wat ik irritanter vindt is dat als je 2FA hebt ingesteld voor FB, je naar je authenticator-app kan schakelen maar dat FB dan vaak opnieuw moet inloggen en je 2FA-code dan al niet meer geldig is.

mutley69 15 januari 2020 20:55

Ik heb zin om facebook te mailen telkenmale ik een cookie van hen vernietigd heb.

Honytawk 16 januari 2020 09:58

Zou liever hebben dat Facebook meldingen gaat geven als derden mijn data gebruiken zonder dat ik daar toestemming voor heb gegeven.

Op dit item kan niet meer gereageerd worden.

Facebook stuurt gebruikers melding als ze login gebruiken voor apps van derden

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: