Facebook was lange tijd op de hoogte van een kwetsbaarheid die in 2018 leidde tot een groot datalek dat 30 miljoen gebruikers trof. Uit rechtbankdocumenten blijkt dat Facebook het probleem pas na negen maanden had verholpen.
De Britse krant The Telegraph heeft de documenten in handen. Daarin staat dat zowel medewerkers als buitenstaanders melding hebben gemaakt van de loophole waarmee het mogelijk was om toegang te krijgen tot gebruikersaccounts. Ondanks de meldingen bleef de kwetsbaarheid negen maanden onopgelost en dat leidde uiteindelijk tot een groot datalek.
Facebook-ontwikkelaars zeggen in documenten zich schuldig en gekwetst te voelen, omdat ze weten dat het datalek voorkomen had kunnen worden. Volgens de documenten heeft Facebook twee weken voor het datalek ook een tip ontvangen via Twitter, maar die zou zijn genegeerd.
De zaak gaat over de kwetsbaarheid in de View As-functie die eind september 2018 aan het licht kwam. Via die functie om profielen te bekijken als iemand anders, was het mogelijk om accounts van bijna 30 miljoen gebruikers over te nemen. Door fouten in de code waren access tokens te achterhalen. Dankzij deze tokens hoeven legitieme gebruikers niet iedere keer opnieuw in te loggen. Aanvankelijk meldde Facebook dat er 50 miljoen gebruikers waren getroffen, later werd dat bijgesteld naar 30 miljoen.
Nadat het datalek bekendgemaakt werd, stelde onder andere de FBI een onderzoek in. Facebook-ceo Mark Zuckerberg claimde in een persconferentie het beveiligingsprobleem zeer serieus te nemen. De rechtbankdocumenten suggereren dat dit aanvankelijk niet het geval is geweest. Ontwikkelaars van het sociale netwerk uitten in december 2017 al hun zorgen over de tokens en het mogelijke misbruik daarvan, maar technische aanpassingen zouden nooit afgemaakt zijn. Volgens een van de medewerkers werden waarschuwingen 'zo goed als genegeerd'.
In een reactie tegenover de krant ontkent een woordvoerder van Facebook dat waarschuwingen over de access tokens zijn genegeerd. Volgens het sociale netwerk waren ontwikkelaars bezig met het oplossen van het probleem toen het datalek plaatsvond. De woordvoerder stelt dat het probleem niet als erg risicovol werd ingeschat en dat het datalek alleen kon plaatsvinden door een 'ongebruikelijke combinatie van verschillende glitches die het bedrijf niet had voorzien'.
De documenten zijn naar buiten gekomen bij een class-actionrechtszaak in de Verenigde Staten. Slachtoffers van het datalek beschuldigen Facebook in die gemeenschappelijk zaak van nalatigheid en het slecht beschermen van hun privégegevens. De zaak is vorige maand al stilletjes geschikt. Volgens de gemaakte afspraken bekent Facebook geen verantwoordelijkheid en betaalt het bedrijf geen schadevergoeding. Wel vergoedt het sociale netwerk de juridische kosten en is afgesproken dat Facebook een beveiligingsplan opstelt om vergelijkbare aanvallen te voorkomen. Dat plan wordt vijf jaar lang jaarlijks door een onafhankelijke beoordelaar gecontroleerd. De schikking moet nog goedgekeurd worden door de rechter.