Facebook stuurt gebruikers melding als ze login gebruiken voor apps van derden

Facebook kondigt een nieuwe loginfunctie aan, waarmee gebruikers volgens het bedrijf meer controle krijgen over hun informatie. Als ze hun Facebook-logingegevens gebruiken om in te loggen bij apps van derden, stuurt Facebook de gebruikers een notificatie.

Facebook heeft deze optie de naam Login Notifications gegeven. Zodra een gebruiker zijn Facebook- login gebruikt voor een app buiten Facebook, volgt via de Facebook-app en het e-mailadres van de gebruiker een melding.

In deze melding staat wat voor informatie Facebook met de app of website heeft gedeeld, zoals een e-mailadres, naam of profielfoto. Gebruikers kunnen via de melding van Facebook ook direct hun instellingen aanpassen, zodat de permissie van de app om deze gegevens te verkrijgen, wordt geblokkeerd.

De notificatie verschijnt in twee situaties: als een gebruiker via Facebook inlogt op een app van derden en deze app toegang heeft gegeven tot zijn informatie, maar ook nadat een gebruiker opnieuw op een app inlogt met zijn Facebook-logingegevens, terwijl de app op dat moment geen toegang meer heeft tot de persoonlijke informatie.

Door Joris Jansen

Redacteur

15-01-2020 • 09:56

31 Linkedin

Reacties (31)

31
30
22
1
0
8
Wijzig sortering
Dit roept nogal wat vragen op. Gaat die app van derden dan niet weer op slot? Zoniet, waarom wordt deze info dan überhaupt gedeeld? Alleen omdat die optie niet wordt geboden op het moment van inloggen? Waarom niet dáár die optie alsnog toevoegen dan?

Je kan toegang achteraf weer voor die derden-app, maar heeft die intussen niet allang alles waar ze bij kunnen opgevraagd? En veel info verandert nooit of zelden.

Komt op mij over alsof FB dit eigenlijk niet echt wil veranderen. Ze weten dat gebruikers deze mailtjes oninteressant vinden en ze massaal zullen negeren.
Ik heb er nooit een gewoonte van gemaakt om met de login van de een in te loggen in de ander. Het geeft naar mijn idee een extra risico, zeker wanneer je een Facebook-account gebruikt. Als het mogelijk is, maak ik altijd een apart account aan voor een dienst en genereer met mijn wachtwoordmanager een nieuw wachtwoord.

Voor wie wel zijn FB login gebruikt lijkt me dit een waardevolle aanvulling overigens.

[Reactie gewijzigd door P_Tingen op 15 januari 2020 10:03]

Mee eens. Ik heb een eigen email domain en maak voor elke nieuwe login een eigen email adres aan (bijv. tweakers_20200115@mijndomein.com) en gebruik een wachtwoordmanager om een lang uniek wachtwoord te genereren. Waar mogelijk zet ik 2FA ook aan.

Zelfs al zou je weten dat ik bij de ABN zit, dan zou je hoogstens nog kunnen raden dat het abnamro_nogiets@mijndomein.com moet zijn, maar de datum is iets dat je niet snel zult raden.

Voor de emails heb ik een catch-all email account zodat alles dat niet een "eigen" email heeft daar naar toe wordt gestuurd. Hierdoor kan ik "on-the-fly" email adressen aanmaken en hoef ze niet eerst op te zetting in mijn email domain. Zo zal XephireUK@mijndomein.com naar 1 mailbox gaan, maar de tweakers_20200115 naar een andere. Enige is dat ik niet kan replyen van het tweakers_20200115 email adres, maar dat is meestal niet nodig.
Ik doe dat ook zo, alleen gebruik ik bijvoorbeeld from_tweakers@mijndomein.be
Als je ergens je mail adres face 2 face moet geven, kijken ze meestal wel eens raar.
Bijkomend voordeel is dat je zo kan zien welke bedrijven je e-mail adres lekken naar commerciële partners of zelfs spammers. Als je dan op en spamlijst terecht komt, kan je eenvoudig dat e-mail adres blocken.

Zo is dat ooit gebeurd met mijn account van de electriciteitsmaatschappij, op een gegeven moment kreeg ik daar spam op. Waarschijnlijk is hun database gehacked, dit zegt dan weer iets over hoe goed alles beveiligd is....
Als je spam krijgt wil dat niet zeggen dat er een database is gelekt, het kan ook zijn dat het toeval is. Spam wordt naar zoveel mogelijk willekeurige mailadressen gedaan, zowel naar bestaande als niet bestaande mailadressen.
Klopt, maar in dit geval was het from_electrabel@mijndomein.be dat is wel héél specifiek om random te zijn ;)
Klopt, ik geef soms een email adres op in de winkel voor garantie o.i.d en dan vragen ze "Oh, je werkt ook voor dit bedrijf?". Nee, de bedrijfsnaam is voor @ niet erachter...

Hacken/spam doorverkoop is ook 1 van de redenen dat ik dit zo doe. Ik host mijn email bij Google zodat zij de spamfilter doen, maar ik kan altijd zien als het wordt doorverkocht door een website/ is gehackt.
Waarschijnlijk weten jij en @XephireUK het al, maar zou voor anderen (zonder eigen domein) een toevoeging kunnen zijn:

Wat zij hierboven doen werkt met elk email adres met een kleine aanpassing, namelijk door een "+" teken.

Wat voorbeelden die allemaal sturen naar "ontvanger@domein.com":

ontvanger+tweakers@domein.com
ontvanger+nu.nl@domein.com
ontvanger+president_van.amerika@domein.com

Alles achter de "+" wordt genegeerd en dient dus alleen voor de ontvanger als identificatie.

Indien een door-/versturende partij hier rekening mee houdt kan alles vanaf de "+" tot de "@" natuurlijk wel uit 't adres gesloopt worden (wat bij van de methodes van @Jim80 en @XephireUK niet kan). Maar zelfs een Have I Been Pwned houdt geen rekening met "Plus aliasing" (zie: https://haveibeenpwned.com/FAQs, even zoeken op "plus aliasing"), want:
[..] usage of plus aliasing is extremely rare, appearing in approximately only 0.03% of addresses loaded into HIBP
Anyway, fijne dag nog :)
Werkt vaak ook, maar ik ben een grote winkel in Londen tegengekomen die geen "-" toestond in hun emails. Mijn domein heeft een minnetje erin staan, en dat werd niet geaccepteerd. Mijn oude gmail was geen probleem. Het is dus ook mogelijk dat de email validatie geen "+" toestaat in het email adres en alleen {0..9,a,.z,A..Z,@,".") oid. Goede email validatie regels zijn moeilijk, maar wel te vinden op internet.
Extreem frustrerend.... ik kom het ook regelmatig tegen op internet, ook van grote organisaties, dat ze mijn e-mail adres niet aanvaarden (of liever gezegd, de slecht geschreven software het niet aanvaardt).

En in mijn adres komen zelfs geen speciale tekens, wel is mijn domeinnaam slecht 3 karakters lang (zonder TLD). Er zit wel een cijfer in het midden, dus zoiets als mail@x2y.be Blijkbaar vinden sommigen dat dat niet kan.....
Ja klopt, maar die maken ook gebruik van shitty bij elkaar gehackte websites gemaakt door 't neefje op z'n Pentium III dat nog op zolder staat.

Elk standaard framework & cms implementeerd namelijk gewoon de RFC (https://tools.ietf.org/html/rfc2822 of nieuwere https://tools.ietf.org/html/rfc5322) wanneer je een form input als "email" definieerd :-)

Wanneer je dus afwijkinging tegenkomt moet je je ook ten zeerste afvragen of je wel/niet die website wilt gebruiken / daar gegevens wilt achterlaten.
Dit was PC World, de grootste keten in UK voor computers. Met eigen geschreven voorraad system gok ik, Dus het zijn niet altijd de kleine shops die dit probleem hebben.
Dus het zijn niet altijd de kleine shops die dit probleem hebben
Klopt. Wanneer je het bij de grotere ziet zijn 't echter wel vaak bedrijven die langer bestaan. Hoogst waarschijnlijk een geval van legacy.

Brengt me weer bij:
Wanneer je dus afwijkinging tegenkomt moet je je ook ten zeerste afvragen of je wel/niet die website wilt gebruiken / daar gegevens wilt achterlaten.
:+
Alternatief is om van de "+-aliasses" van bijvoorbeeld gmail gebruik te maken (bijvoobeeld foo+tweakers@gmail.com). Veel e-mail providers ondersteunen dit inmiddels. Op deze manier hoef je geen aparte email-adressen aan te maken.
Bijkomend voordeel (maar dat geldt ook voor jouw methode) is dat je direct kunt zien wanneer een website jouw e-mail adres aan een ander bedrijf verkoopt om reclames te sturen.
En zoals iedere spammert drop ik dan gewoon alles vanaf de + tot aan de @
Dit was een paar jaar geleden nog wel effectief, maar tegenwoordig echt niet meer. Behalve voor domme spammers.
Dat is niet mijn ervaring. Dat betekent dus dat er erg veel domme spammers op deze wereld zijn...
Helaas zijn er nog steeds diverse websites die dit (onterecht!) als een ongeldig emailadres herkennen. In dat opzicht is een eigen domein met catch all toch wel erg praktisch.
Dit is zeker een handige methode, echter zou ik gewoon random getallen doen ipv een datum.
In het begin deed ik dat ook (_001, _002, etc). Probleem is dat ik op een gegeven moment niet meer wist waar ik was in de telling :)

Door een datum te gebruiken weet ik 1) wanneer ik me voor de website heb geregistreerd en 2) als de website werd gehackt in het verleden en het komt nu uit, dan weet ik of ik voor of na de hack mij geregistreerd had. Ik reset mijn wachtwoord toch wel, maar geeft iets meer zekerheid.
Enige is dat ik niet kan replyen van het tweakers_20200115 email adres, maar dat is meestal niet nodig.
Dat is eenvoudig te doen door ofwel simpelweg het "from" adres aan te passen in je mailclient in het compose-venster, of door een extra "identity" toe te voegen die je dan kunt kiezen uit een dropdown, een en ander afhankelijk van je mailclient ;)

Thunderbird kan het in ieder geval!
Ik ben sinds een paar maanden begonnen met AnonAddy, dit is een gratis open source service waarmee je met aliassen kunt werken. Ik kan op elke willekeurige website een mail aanmaken met bijvoorbeeld tweakers@reezy.anonaddy.com, als er dan gemaild wordt op dat adres wordt er automatisch een alias aangemaakt en wordt dit doorgemaild (optie tot pgp versleuteling) naar je eigen mailservice. Als je ook je username niet zichtbaar wilt hebben is er ook de mogelijkheid tot het genereren van UUID's, maar dit is uiteraard iets meer werk dan gewoon ergens een emailadres typen en zo automatisch een alias aan te maken.

Zo hoef je nergens je eigen mailadres achter te laten en kun je in een overzicht precies zien hoeveel mails er per welke alias gestuurd worden en als je spam krijgt via een alias of je wilt een alias verwijderen of blokkeren kan dat.

Zo heb ik per service een uniek mailadres, dit in combinatie met een gegenereerd wachtwoord uit de wachtwoordmanager, tot zo ver werkt dit top.
Okee. Maar het feit dat jij je eigen domein gebruikt maakt het niet minder traceerbaar wie jij bent, het is misschien zelfs makkelijker.
Je hebt tegenwoordig zelfs apps waarmee je alleen met Facebook kan inloggen. Te gek voor woorden. Deze sla ik dan ook over..
Gelukkig is dat op iOS nu niet meer mogelijk. Elke app moet nu, als ze sociale login opties hebben, ook Apple Login aanbieden. En dat heeft weer als voordeel dat je een anoniem e-mail adres kan gebruiken.
Het voordeel kan wel zijn dat je niet hoeft te vertrouwen op de security van allerlei verschillende partijen maar 1 "goede" partij kan kiezen.

De site waar je zo'n inlogsysteem gebruikt heeft immers een stuk minder kritische data van je in een potentieel slecht beveiligde database.

Maar vervolgens ligt het risico wel bij 1 partij, wat evt weer een privacy issue met zich meebrengt.

Pick your poison :Y)

ps: afgezien van de overigen opties natuurlijk :X
In het begin toen ik FB nog veel gebruikte heb ik dit regelmatig gedaan 'omdat het makkelijk is'. Achteraf ben ik er niet blij mee. Tegenwoordig doe ik dit ook niet meer en gebruik ik altijd mijn e-mailadres als account.
Maar het is zeker een nuttige toevoeging, hierdoor krijg je beter overzicht waarmee je je FB-account gekoppeld hebt en mocht je je willen uitschrijven weet je ook direct waar je moet zijn om je account aan te passen.
Betekend dit nou dat als ik op een website inlog met een Facebook login, dat ik daar elke keer een notificatie van ga krijgen?
Je kan nog steeds "Vertrouw deze browser" aanvinken.

Wat ik irritanter vindt is dat als je 2FA hebt ingesteld voor FB, je naar je authenticator-app kan schakelen maar dat FB dan vaak opnieuw moet inloggen en je 2FA-code dan al niet meer geldig is.
Ik heb zin om facebook te mailen telkenmale ik een cookie van hen vernietigd heb.
Zou liever hebben dat Facebook meldingen gaat geven als derden mijn data gebruiken zonder dat ik daar toestemming voor heb gegeven.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee