Facebook liet kwetsbaarheid die leidde tot groot datalek 9 maanden onopgelost

Facebook was lange tijd op de hoogte van een kwetsbaarheid die in 2018 leidde tot een groot datalek dat 30 miljoen gebruikers trof. Uit rechtbankdocumenten blijkt dat Facebook het probleem pas na negen maanden had verholpen.

De Britse krant The Telegraph heeft de documenten in handen. Daarin staat dat zowel medewerkers als buitenstaanders melding hebben gemaakt van de loophole waarmee het mogelijk was om toegang te krijgen tot gebruikersaccounts. Ondanks de meldingen bleef de kwetsbaarheid negen maanden onopgelost en dat leidde uiteindelijk tot een groot datalek.

Facebook-ontwikkelaars zeggen in documenten zich schuldig en gekwetst te voelen, omdat ze weten dat het datalek voorkomen had kunnen worden. Volgens de documenten heeft Facebook twee weken voor het datalek ook een tip ontvangen via Twitter, maar die zou zijn genegeerd.

De zaak gaat over de kwetsbaarheid in de View As-functie die eind september 2018 aan het licht kwam. Via die functie om profielen te bekijken als iemand anders, was het mogelijk om accounts van bijna 30 miljoen gebruikers over te nemen. Door fouten in de code waren access tokens te achterhalen. Dankzij deze tokens hoeven legitieme gebruikers niet iedere keer opnieuw in te loggen. Aanvankelijk meldde Facebook dat er 50 miljoen gebruikers waren getroffen, later werd dat bijgesteld naar 30 miljoen.

Nadat het datalek bekendgemaakt werd, stelde onder andere de FBI een onderzoek in. Facebook-ceo Mark Zuckerberg claimde in een persconferentie het beveiligingsprobleem zeer serieus te nemen. De rechtbankdocumenten suggereren dat dit aanvankelijk niet het geval is geweest. Ontwikkelaars van het sociale netwerk uitten in december 2017 al hun zorgen over de tokens en het mogelijke misbruik daarvan, maar technische aanpassingen zouden nooit afgemaakt zijn. Volgens een van de medewerkers werden waarschuwingen 'zo goed als genegeerd'.

In een reactie tegenover de krant ontkent een woordvoerder van Facebook dat waarschuwingen over de access tokens zijn genegeerd. Volgens het sociale netwerk waren ontwikkelaars bezig met het oplossen van het probleem toen het datalek plaatsvond. De woordvoerder stelt dat het probleem niet als erg risicovol werd ingeschat en dat het datalek alleen kon plaatsvinden door een 'ongebruikelijke combinatie van verschillende glitches die het bedrijf niet had voorzien'.

De documenten zijn naar buiten gekomen bij een class-actionrechtszaak in de Verenigde Staten. Slachtoffers van het datalek beschuldigen Facebook in die gemeenschappelijk zaak van nalatigheid en het slecht beschermen van hun privégegevens. De zaak is vorige maand al stilletjes geschikt. Volgens de gemaakte afspraken bekent Facebook geen verantwoordelijkheid en betaalt het bedrijf geen schadevergoeding. Wel vergoedt het sociale netwerk de juridische kosten en is afgesproken dat Facebook een beveiligingsplan opstelt om vergelijkbare aanvallen te voorkomen. Dat plan wordt vijf jaar lang jaarlijks door een onafhankelijke beoordelaar gecontroleerd. De schikking moet nog goedgekeurd worden door de rechter.

Reacties (84)

Beat The Best 10 februari 2020 11:54

Bizar dat je bewust bent van een dergelijke fout, er meermaals op gewezen bent, gewoon laat liggen.

Het is tijd dat dergelijke bewuste acties gigantisch hard afgestraft worden. en een etisch/moreel juist gedrag verwacht kan worden van een bedrijf en indien hier niet naar gehandeld wordt een % van de jaaromzet als boete gegeven wordt. Laat de rechter dan maar besluiten of het moreel/etisch juist was.

Ik vind dit echt belachelijk. 9 maanden... en het dan vervolgens afkopen........

ACM Software Architect @Beat The Best • 10 februari 2020 12:50

De woordvoerder stelt dat het probleem niet als erg risicovol werd ingeschat en dat het datalek alleen kon plaatsvinden door een 'ongebruikelijke combinatie van verschillende glitches die het bedrijf niet had voorzien'.

Als die zin klopt, dan is het op zich niet zo raar dat het bleef liggen; want in dat geval dachten ze dat het een niet al te gevaarlijk probleem was, ipv eentje die blijkbaar met wat moeite 30M accounts toegankelijk maakte.

svenslootweg @ACM • 10 februari 2020 16:23

Als buitenstaander klinkt het misschien plausibel, maar als iemand die nogal wat security research doet kan ik je vertellen dat dit het standaard-excuus is van bedrijven (en individuen) die het niet zo nauw nemen met beveiliging.

Je hebt grofweg twee grote categorieen met beveiligingsproblemen:
1. Overduidelijke fouten die makkelijk voorkomen hadden kunnen worden (denk hierbij aan SQLi, user input in een shell-commandoregel gooien, enz.)
2. Fouten die bestaan uit een mismatch van aannames tussen verschillende delen van de applicatie, en dus doorgaans meerdere stappen vereisen om een probleem uit te buiten.

Het gaat hier, aldus Facebook, om de tweede categorie. Bij die categorie kan het gebeuren dat ze hem zelf niet door hebben gehad, en dat ze er dus voor het eerst van hoorden toen het extern gerapporteerd werd; echter, op dat moment hadden ze direct het risico in moeten zien en het moeten fixen, i.p.v. het proberen te verdedigen als "obscure vulnerability".

Fouten in de tweede categorie zijn namelijk fouten die duiden op een groter onderliggend probleem: ergens in de applicatie zijn de aannames/ontwerpen niet gelijkgetrokken, en dat betekent doorgaans dat daar nog veel meer problemen uit zijn ontstaan, die simpelweg nog niet gevonden zijn. Het is dus onmogelijk om goed in te schatten of het wel of niet uit te buiten valt, en je moet het volledige ontwerp en alle aannames gaan herzien.

Bovendien gaat het bij Facebook om een high-value target; ze zijn dermate groot en hebben dermate veel sappige informatie dat, zelfs als het een obscure combinatie van stappen vereist om uit te buiten, iemand die combinatie waarschijnlijk gaat vinden.

Dus nee, met "we dachten dat het moeilijk uit te buiten was" maken ze zich er veel te gemakkelijk van af. Je kunt als ontwikkelaar altijd wel dit soort fouten trivialiseren, maar de realiteit is dat aanvallers - zeker bij dit soort high-value targets - juist gespecialiseerd zijn in het uitzoeken hoe dit soort dingen uitgebuit kunnen worden, ook als er meerdere stappen vereist zijn.

Ieder onderdeel dat niet precies functioneert (qua veiligheid) zoals het zou moeten, is daarin een grote risicofactor, en moet direct aangepakt worden; zelfs als het niet direct duidelijk is hoe een praktische aanval in zijn werk zou gaan.

hrichard @ACM • 10 februari 2020 12:59

Nog steeds superslecht toch? Geen enkele reden om het goed te praten.

Edit: En trouwens, in hoeverre kun je aannemen wat de woordvoerder van Facebook zegt? Ik lees hier ook dat er maandenlang meerdere keren gemeld is dat er een probleem was en er alsnog niets mee is gedaan.

Facebook-ontwikkelaars zeggen in documenten zich schuldig en gekwetst te voelen, omdat ze weten dat het datalek voorkomen had kunnen worden.

Dat is nogal wat, je eigen medewerkers die zeggen dat het voorkomen had kunnen worden.

[Reactie gewijzigd door hrichard op 22 juli 2024 23:20]

Ionicawa @hrichard • 10 februari 2020 13:12

Tsja inschattingen kunnen fout zijn. Als er maar één methode bekend is die heel obscuur is, dan zou ik er ook niet direct op springen. De vraag is, wisten ze echt niet meer? Werd er (intern) informatie stilgehouden die tot een andere inschatting zou leiden? Hoe bewijs je dat? Wie is verantwoordelijk?

Lastige materie, zeker bij grote organisaties. Makkelijkst is om de manager van het team dat de inschatting maakte te ontslaan/aan te klagen, maar wat bereik je daarmee?

hrichard @Ionicawa • 10 februari 2020 13:16

Er staat toch duidelijk dat er al heel lang bekend was dat er een probleem was en dat het al meerdere keren was gemeld en er niks mee werd gedaan.

Tja.

tweaknico @Ionicawa • 11 februari 2020 01:16

Dus als iemand de NL bank er op wijst dat de kluisdeur van de goud voorraad open staat dan is er geen verdere actie vereist... De data binnen FB is vermoedelijk wel meer waard dan dat beetje goud.
En er zijn natuurlijk in de hele wereld geen mensen te vinden die daar een kijkje willen nemen.

Als er niets met problemen gedaan wordt dan betekent er vermoedelijk andere belangen veel groter waren dan de "privacy" van "etalage materiaal".

BruT@LysT @hrichard • 10 februari 2020 13:08

Ik vind dat ook wel weer erg makkelijk praten. Ik wil het niet voor Facebook opnemen maar het valt me wel op dat men hier altijd zo donders goed weet hoe de vork in de steel zit. Ik gok dat het allemaal wat complexer is.

hrichard @BruT@LysT • 10 februari 2020 13:15

Vindt je? Als je een miljardenbedrijf hebt wat verdient aan de gegevens van gebruikers, dan mag je toch verwachten dat elk potentieel lek serieus wordt getest en bekeken, hoe minimaal het op eerste gezicht ook lijkt.

Met de miljarden van Facebook is het bizar dat dit niet gebeurt. Het statement van Facebook laat in mijn ogen zien waarom dit heeft kunnen gebeuren, men gaat er blijkbaar niet serieus genoeg mee om of heeft de expertise niet of ze hebben zoveel informatie dat ze het zelf niet meer weten. Niet voor niets is er al regelmatig door (ex) insiders gewaarschuwd voor welke kant het op gaat met Facebook. Persoonlijk denk ik dat het zo groot is geworden dat men er geen grip meer op heeft.

BruT@LysT @hrichard • 10 februari 2020 13:29

Ja ik vind dat nogsteeds. Klakkeloos van alles aannemen op basis van torenhoge bedragen vind ik net zogoed bullshit. En maar blaten en blaten. Ik denk dat dergelijke services (in dit geval facebook) namelijk helemaal nooit waterdicht gaan worden. En dat komt niet omdat er niet genoeg geld zou zijn. De beste partijen op gebied van ICT zullen steken laten vallen. Zelfs bedrijven die zich puur en alleen richten op social-security maken fouten, en niet alles is zo makkelijk te testen zoals jij nu beweert. Ik vind jouw reactie in dat opzicht net zo schandalig. Want EXACT die houding zorgt voor veel problemen. Assumptions are the mother of all...

hrichard @BruT@LysT • 10 februari 2020 14:22

Ik beweer helemaal nergens dat het makkelijk is. Hier staat gewoon dat er geen reet mee is gedaan en dat is zeer kwalijk, zeker voor zo'n gigantisch bedrijf.

Blaten en blaten, makkelijk praten etc Facebook maakt er al tijden een potje van. Als je stopt dit soort bedrijven hierop te bekritiseren dán is pas het einde zoek. En, ze komen er elke keer mee weg.

Prima joh, ieder zijn mening.

Daoka @BruT@LysT • 10 februari 2020 14:42

Ik ben het op zich met je eens dat niets waterdicht kan zijn. Er zal altijd wel weer iets te vinden zijn wat iemand kan gebruiken. Maar ik ben het ook wel eens met @hrichard. Ze hadden een waarschuwing gekregen van de lek. Facebook is wel groot genoeg dat ze een klein team hadden kunnen laten onderzoeken. En anders een buitenstaande bedrijf kunnen inhuren die het voor hun onderzoekt hoe erg dit gebruikt kon worden. Elke serieuze meldingen vind ik wel dat ze moeten bekijken hoe klein de bug / hack ook is. Dus ja ik vind het wel een beetje nalatigheid in dit geval.

Annihlator @BruT@LysT • 10 februari 2020 17:22

De partijen die je hier benoemt hadden echter kunnen voorspellen dat deze insteek die het probleem in-kwestie had doen ontstaan dit had kunnen doen...

Wáárom heeft iemand überhaupt een éxtra token nodig dat überhaupt voor meer dan enkele losse tellen beschikbaar blijft? De argumentatie maakt m.i. niet uit zolang Facebook, zoals mij hier persoonlijk wel het geval lijkt, haar uiterste best doet die eerste vraag al preventief te weerleggen.
En het bestaan van dit lek, in de vorm dat het heeft bestaan, bewijst hoofdzakelijk dat dat nooit helemaal gebeurd kán zijn...

hrichard @Beat The Best • 10 februari 2020 13:03

% van de jaaromzet is niet genoeg, ook dat word dan ingecalculeerd. Verantwoordelijke managers de cel in, het is de hoogste tijd dat privacy en beveiliging serieus word genomen.

Verwijderd @hrichard • 10 februari 2020 15:21

Het fundamentele probleem is dat gebruikers van het platform niet de klanten van Facebook zijn. De adverteerders zijn de klanten van Facebook.

Men kan ook gewoon besluiten om het platform niet te gebruiken. Als mensen hun eigen privacy en beveiliging serieus nemen, dan gebruiken ze geen Facebook. Maar men wilt blijkbaar iedere keer misbruikt worden. Op een gegeven moment verdien je het dan ook.

Ik heb nog nooit een Facebook account gehad, ik mis er niks aan. Enige wat ik jammer vind is dat ze wel een schaduw profiel van mij hebben, dankzij alle schaapjes die wel Facebook en Whatsapp gebruiken en het nodig vinden om mijn telefoonnummer en email op te sturen naar het hoofdkwartier.

tweaknico @hrichard • 11 februari 2020 01:18

3 a 4 van dit soort akkevietjes / jaar maken FB zwaar verlies latend ... Dus 4% van wereldwijde omzet is niet onredelijk.

cricque @Beat The Best • 10 februari 2020 12:42

Tsja dat is gewoon "omdat het kan" en prioriteiten stellen. Ik zie dit gewoon dikwijls in het bedrijfsleven. Tot mijn eigen grote frustratie ... Er is nu geen tijd voor, feature X is al verkocht aan klant Y of dit moet af zijn tegen want er is een nieuw regeltje van de overheid (bekend sinds gisteren en live binnen 2 weken) en zo van die dingen. Er wordt gewoon gekeken naar wat gaat het ons kosten en wat brengt het op ...

Ik vind dit persoonlijk ook niet kunnen. Problemen los je op

kozue

Facebook

@Beat The Best • 10 februari 2020 13:50

Als Facebook moet stoppen met alles wat niet moreel is kunnen ze het hele bedrijf wel opdoeken. Ze bestaan alleen om jouw data te stelen en daar een slaatje uit te slaan. Facebook zijn gewoon een stel boeven en iedereen die daar nog steeds gebruik van maakt verdient het om z'n data te laten lekken. Iemand die echt iets om dit lek zou geven zou allang al van Facebook vertrokken zijn. Alles wat je daar zet (en wat ze achter je rug om verzamelen) kun je als publieke informatie beschouwen, ongeacht welke wassen-neus privacy instellingen je aan hebt gezet.

Archcry 10 februari 2020 11:40

De schikking moet nog goedgekeurd worden door de rechter.

Ergens hoop ik dat deze schikking gewoon niet goedgekeurd wordt en Facebook gewoon naar de rechter mag. In principe wordt er nu geen uitspraak gedaan en worden er enkel wat afspraken gemaakt. Wanneer het daadwerkelijk tot een uitspraak komt betekent dat ook dat Facebook echt schuldig bevonden wordt. Dat zou ik graag zien.

Facebook heeft laatst op eenzelfde manier de rechtzaak om gezichtsherkenning geschikt met de uitspraak "Wij zijn niet schuldig".

Facebook is het niet eens met de aanklachten en ontkent in overtreding te zijn, maar heeft toch een schikking getroffen.

Kortom, weer een slimme truc om te voorkomen dat de rechtelijke macht Facebook te veel in de weg gaat zitten bij het uitvoeren van praktijken die ethisch discutabel zijn.

[Reactie gewijzigd door Archcry op 22 juli 2024 23:20]

Mavamaarten @Archcry • 10 februari 2020 11:51

Het probleem is dat Facebook zoveel geld in omloop heeft dat zo'n schikking echt een heel goedkope uitweg is.

Archcry @Mavamaarten • 10 februari 2020 11:52

Ja precies, schikken is goedkoper dan de rechtzaak uitzitten, slechte publiciteit krijgen en potentieel gebruikers verliezen. Dus erkennen dat ze fout zitten is voor Facebook nooit slim en schikken zorgt ervoor dat ze dat niet hoeven te doen.

Verwijderd 10 februari 2020 11:29

Vinden jullie het vreemd als ik Facebook eigenlijk niet vertrouw met mijn gegevens?

@iedereen die mij vraagt of ik dan ook facebook/whatsapp etc. gebruik: Nee die gebruik ik allemaal niet. In brede zin vertrouw in Marc Zuckerberg niet, en al helemaal niet meer sinds hij desgevraagd zei open te staan om eens president te willen worden ...

Daarbij heb ik het gevoeld dat vrienden uit Whatsappgroepen of facebook toch niet echt ... naja ... vrienden zijn. Ik zie mijn vrienden graag gewoon in persoon.

En voor de wat snellere communicatie (op het werk bv.) gebruik ik het liefst gewoon telefoon of beter nog ik spreek af

Want communicatie werkt beter als je je communicatiepartner ook ziet of hoort.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:20]

Franckey @Verwijderd • 10 februari 2020 11:34

Nee, maar ik vind het wel vreemd als je dan nog Facebook (diensten) gebruikt.

Aiii @Franckey • 10 februari 2020 11:45

Helaas is het ofwel WhatsApp gebruiken of mezelf in een behoorlijke mate van sociaal isolement plaatsen.

Unsocial Pixel @Aiii • 10 februari 2020 11:53

Probeer signal, als mensen het niet hebben schakeld deze over op sms. Daarnaast vind ik persoonlijk het een minder schimmige reputatie hebben als telegram. Bij mij ging familie en vrienden eigelijk zonder blikken of blozen om.

Boy @Unsocial Pixel • 10 februari 2020 12:43

ik heb aardig wat appgroepjes, hoe ga je daar mee om? Bijv een groep om plannen in te overleggen voor een mannenweekend, die gaan echt niet signal installeren alleen omdat ik dat persé wil...

WhatsappHack

Facebook
Privacy
Networking en security
Datalek

@Boy • 10 februari 2020 14:37

Heb je het al eens voorgesteld? De truc is om mensen langzaam over te halen door de apps naast elkaar te draaien. Veel mensen proberen maar om mensen radicaal over te gooien, je ziet zelfs mensen die “ik ben alleen nog maar via x te bereiken, installeer dat als je me wil spreken en anders heb je pech.”. Zo ga je “de oorlog” niet winnen. Mensen langzaam maar zeker over laten stappen is veelal effectiever.

Stel eens voor om Signal te installeren omdat het veel veiliger is. En gebruik het dan een keer voor een groep of wat berichtjes. Maar eis niet dat ze WhatsApp eruit lazeren of daar helemaal niet meer mee communiceren. In het slechtste geval weigeren ze, in een gunstig geval vinden ze ‘t okee en kan iig de communicatie met jou via de andere app en in ‘t allerbeste geval gaan ze ‘t zelf ook steeds meer (onderling) gebruiken en andere mensen aansporen het ook te gebruiken.

Marnixjee @Unsocial Pixel • 10 februari 2020 11:55

Hoe komt u er bij dat telegram een schimmige reputatie heeft?
Ik ben het niet met u oneens maar ik ben benieuwd waar dat vandaan komt of dat ik iets gemist heb.

Superstoned @Marnixjee • 10 februari 2020 12:15

Er is spijtig genoeg wel reden om telegram een beetje als schimmig te beschouwen.

In het begin hadden ze een zootje gemaakt van de encryptie: ze hadden een paar wiskundigen een nieuwe encryptie methode laten maken. Elke expert zal je vertellen dat dat dom is - in simpele termen, hoewel encryptie is gebaseerd op wiskunde is niet alle wiskunde encryptie en je hebt echt heel specifieke expertise nodig.

Daarbij encrypten ze niet standaard en is het Russisch - waar de overheid steeds meer druk uitoefend om achterdeurtjes te krijgen. Mocht je na vkontacte en andere incidenten dat nog niet geloven, neem het van mij aan - een Russische partner van ons heeft al hun assets naar het buitenland verplaatst om een gedwongen verkoop of invloed temvoorkomen. Er is echt wat gaande daar, je kunt Russische techniek niet langer vertrouwen (net als Chinese en, vermoed ik, Turkse en uiteraard, als het bestond, Noord-Koreaanse).

Voor er een dosis what-about-ism mijn kant op komt, ja, de NSA heeft ook geprobeerd veiligheidsstandaarden te verzwakken, daarom hebben we ook onafhankelijke comités en daarom vertrouw ik Facebook, Google, Apple etc etc ook niet.

smiba @Superstoned • 10 februari 2020 12:28

In het begin hadden ze een zootje gemaakt van de encryptie: ze hadden een paar wiskundigen een nieuwe encryptie methode laten maken. Elke expert zal je vertellen dat dat dom is - in simpele termen, hoewel encryptie is gebaseerd op wiskunde is niet alle wiskunde encryptie en je hebt echt heel specifieke expertise nodig.

Deze encryptie is echter nog steeds niet gekraakt... Hoor dit argument echt heel vaak maar ze hebben een 1 miljoen USD bounty voor de eerste die het kan kraken.

WhatsappHack

Facebook
Privacy
Networking en security
Datalek

@smiba • 10 februari 2020 14:04

Het is al meerdere keren aangetoond dat het zwaktes heeft, alleen die contest is dusdanig opgesteld dat ie niet te winnen valt. Maar er is één Rus die wel een bounty heeft ontvangen, doch niet van 1M, voor een grof lek. Die heeft Durov en co uiteindelijk wel gepatched.

Plompie @Superstoned • 10 februari 2020 12:28

Dat de oprichter Russisch is daar zijn bedrijf (VKontacte) heeft moeten overdragen aan het regime, lijkt mij eerder een plus. Iemand die dit zelf heeft meegemaakt zal minder snel geneigd zijn data te overhandigen dan iemand die daar zijn hele fortuin mee verdiend heeft (kuchZuckerberg). Of het is een héle goeie dekmantel...

https://en.wikipedia.org/wiki/Pavel_Durov

Dismissal from VK
On 1 April 2014 Durov submitted his resignation to the board; at first, due to the fact the company confirmed he had resigned, it was believed to be related to the Ukrainian crisis which started in February.[19] However, Durov himself claimed it was an April Fool's Joke on 3 April 2014.[20]

On 16 April 2014 Durov publicly refused to hand over data of Ukrainian protesters to Russia's security agencies and block Alexei Navalny's page on VK.[3] Instead he posted the relevant orders on his own VK page [21][22] claiming that the requests were unlawful.

On 21 April 2014 Durov was dismissed as CEO of VK. The company claimed it was acting on his letter of resignation a month earlier that he failed to recall.[3][23] Durov then claimed the company had been effectively taken over by Vladimir Putin's allies,[23][24] suggesting his ouster was the result of both his refusal to hand over personal details of users to federal law enforcement and his refusal to hand over the personal details of people who were members of a VKontakte group dedicated to the Euromaidan protest movement.[23][24] Durov then left Russia and stated that he had "no plans to go back"[24] and that "the country is incompatible with Internet business at the moment".[3]

Life after VK
Upon leaving Russia, he obtained Saint Kitts and Nevis citizenship through donating $250,000 to the country's Sugar Industry Diversification Foundation, and secured US$300 million in cash within Swiss banks. This allowed him to focus on creating his next company, Telegram, which was originally based in Berlin and focused on an encrypted messaging service.[5]

[Reactie gewijzigd door Plompie op 22 juli 2024 23:20]

Indentical @Superstoned • 10 februari 2020 13:14

Vind je dat niet wat kort door de bocht?
Het is Russisch en dus niet te vertrouwen

Ik snap het wel, het is niet pluis wat daar gebeurd, maar dat wilt niet zeggen dat Telegram daar ook door beïnvloed is. Volgens mij hebben zij al eerder een verzoek tot de user data afgewezen waardoor ze mot kregen met Rusland en daar geen diensten meer mochten verlenen, wat zij liever hadden dan het wel te delen al zat de meerderheid van hun users in Rusland.

Zijn we vergeten dat Telegram geband is in Rusland omdat ze juist geen data wilde delen?

Je zou ook kunnen stellen dat omdat China zo onder het vuur ligt met van alles en nog wat dat alles wat in china geproduceerd word ook vol met back doors zit voor de Chinese overheid. Dan zou je zowat al je tech niet met het internet moeten verbinden of überhaupt niet moeten kopen.

Ik snap dat het een belangrijk topic is, en dat je hier ook wel bedacht op moet zijn. Maar laten we nu niet meteen roepen dat bedrijven data verkopen puur omdat zij uit een bepaald land komen.

Kat uit de boom @Marnixjee • 10 februari 2020 12:26

Hoe komt u er bij dat telegram een schimmige reputatie heeft?
Ik ben het niet met u oneens maar ik ben benieuwd waar dat vandaan komt of dat ik iets gemist heb.

Wat denk je zelf?
Telegram is 100% Russisch alsof dat zulke lievertjes zijn...
En of Russen zich zorgen maken over jouw privacy? - Als één land bewezen heeft weinig democratische waarden te kennen dan staat Rusland naast China en Noord Korea hoog op het lijstje.

[Reactie gewijzigd door Kat uit de boom op 22 juli 2024 23:20]

Unsocial Pixel @Marnixjee • 10 februari 2020 13:11

Naast hetgeen wat hieronder aangehaald is zie ik naast technise details (volgens mij kan je telegram niet zelf hosten, signal wel alsook de mogelijkheid van een sealed sender msg heb ik niet bij telegram gezien) komen zij ook meer in het nieuws terecht ivm de oude koeiensloot:terrorisme en kp. Dit geeft een persoonlijk schimmig gevoel bij deze app en zijn voor mij persoonlijk redenen om deze links te laten liggen.

WhatsappHack

Facebook
Privacy
Networking en security
Datalek

@Marnixjee • 10 februari 2020 14:28

Ze hebben idd een schimmige reputatie en in de IT-sec community zijn ze het lachertje. En niet eens perse omdat de app slecht is, maar voornamelijk omdat het gepresenteerd werd als superveilig, maar dat op alle fronten niet blijkt te zijn. Dan krijg je al snel hoon over je heen. Geen enkele beveiligingsexpert, denk aan Matthew Green, Edward Snowden, Steve Gibson, Marlinspike, etc. neemt de beveiliging serieus en raden het gebruik zelfs actief af.

Een aantal voorbeelden van problemen met Telegram:
- Geen default encryptie, alle data gaat hun cloud in, inclusief je contacten, foto’s, media, bijlagen, etc. Men wees Telegram er op dat dit inhoudt dat de boel niet dusdanig encrypted wordt opgeslagen als Telegram in haar PR-verhalen probeerde mensen te laten geloven, het was en is gewoon plain-text accessible. Het probleem is dat Telegram er niet echt over liegt, alleen verwoorden ze alles op zo’n manier dat het de meeste mensen het gevoel gaf dat het onbenaderbaar zou zijn. Hun PR-campagnes zijn geniaal, nu nog denken mensen serieus dat het veiliger en privacyvriendelijker is dan WhatsApp, terwijl het tegendeel waar is.
- Een nogal vage en misleidende PP
- De crypto van de secret modus, MTProto, is meerdere malen lek bevonden en niemand die er verstand van heeft snapt waarom ze nog altijd die roll your own shit gebruiken terwijl er aangetoond en ge-audit bewezen veilige middelen zijn. De vraag is waarom men zo graag zwaktes in het protocol wil behouden
- Pavel Durov’s verhaal over exile, dat hier ook door sommige mensen wordt aangehaald, blijkt zoals alles Durov nogal overdreven te zijn: hij is nog altijd vaak te gast bij VKontakte en woont net tegen de grens van Rusland zodat ie er vaak heen kan. Meneer is gewoon stinkend rijk geworden met de verkoop van userdata, dat gezeur er omheen is dubieus at best. Het verkopen is niet het probleem per se, wederom is het probleem het misleidende gelul van Durov.
- Hoewel ze het geenszins verplicht zijn, belooft Durov steeds de source te openbaren van heel Telegram. Tot op de dag van vandaag is die belofte loos gebleken. Zeg dan gewoon dat je die source voor jezelf houdt. Dat is je goed recht en closed source houden mag. Maar ga niet zeggen dat het “volledig opensource wordt” en vervolgens maak je geen reet opensource op de API en basic app na.
- Telegram’s PR is gericht op misleiding. Neem die cryptocontest. Die is zo opgesteld dat niemand hem eigenlijk redelijkerwijs kan winnen. Dat niemand hem gewonnen heeft (al wordt een groot lek in het verleden steeds verzwegen op de een of andere manier) zegt dus niets, maar men adverteert ermee en ‘t wordt nog geloofd door veel mensen ook dat dit hét bewijs is dat het protocol superveilig zou zijn
- Telegram is opgezet met een corporate structure die 100% gelijk is aan witwas shells. Financiën en beheer worden door mailbox bedrijfjes in Panama, Belize en de Britse Maagdeneilanden gestuurd waardoor er nul inzicht is wat Durov er precies mee doet, of en hoe hij geld verdient met Telegram en het bedrijf zich onttrekt aan alle toezichthoudende autoriteiten, meneer kan dus met je data doen wat ie wil zonder dat er een haan naar kan kraaien. Dat terwijl zelfs Facebook bijvoorbeeld dik onder een vergrootglas ligt van alle toezichthouders. Toch menen veel mensen dat het toezichtsloze Telegram op de een of andere manier veiliger zou zijn.

En ga zo maar door.
Is het dan perse slecht om te gebruiken? Nee, niet perse - als de veiligheid van je communicatie je geen reet boeit is het een prima, snelle en zeer gebruiksvriendelijke app. Het is een soort van de Russische tegenhanger van Facebook Messenger. Even onveilig en ‘t harkt evenveel of zelfs nog meer (meta)data binnen. Het is net als FB Messenger echter wel gebruikevriendelijk en daarmaa gebruiksvriendelijker dan WhatsApp, maar daar lever je dus wel fors op veiligheid op in.

Echter. De bottomline is dat vanuit het oogpunt van veilig communiceren, Telegram (en FB messenger

) een forse downgrade is ten opzichte van WhatsApp. En WhatsApp is weer een downgrade ten opzichte van Signal. Ergo: ALS je wilt overstappen van WhatsApp naar iets anders en veiligheid/privacy is je grootste argument: dan moet je het schimmige Telegram vermijden als de pest en kun je inderdaad oneindig veel beter kiezen voor Signal. Signal kan tegenwoordig ook op je PC/Mac/Linux draaien onafhankelijk van je telefoon (op eerste login na) dus met die gebruiksvriendelijkheid zit t best redelijk snor intussen op dat vlak.

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 23:20]

Franckey @Unsocial Pixel • 10 februari 2020 12:07

Of Skype. Als je al een Microsoft account hebt voor bijv. Windows 10, dan kan je daarmee direct Skype gebruiken.

Marnixjee @Aiii • 10 februari 2020 11:47

Telegram is daarvoor een goede oplossing, in mijn geval zijn een hoop vrienden en kennissen al over.
dat kan natuurlijk bij jou anders zijn.

Darkstriker @Marnixjee • 10 februari 2020 11:54

En Telegram vertrouw je wel? Als je al overstapt, doe het dan goed en ga naar Signal, Threema of Wire.

Marnixjee @Darkstriker • 10 februari 2020 11:59

telegram vertrouw ik meer dan whatsapp als dat is wat je bedoeld, dat ik het volledig vertrouw en alles zomaar blind verstuur nee natuurlijk niet.

Bender @Marnixjee • 10 februari 2020 12:15

Waarom vertrouw je een Amerikaans bedrijf meer dan een van oorsprong Russisch bedrijf?

vosManz @Bender • 10 februari 2020 12:32

Dat de oprichters van oorsprong Russisch zijn maakt het nog niet een van oorsprong Russisch bedrijf. Telegram heeft officieel enkel een hoofdkantoor in Berlijn, Duitsland gehad.

En waarom zou je een Russisch bedrijf minder vertrouwen dan een Amerikaans bedrijf? Vergeten we even wat Snowden allemaal heeft gepubliceerd over de NSA etc? Daarbij, of het nu Amerikaans, Russisch of Nederlands is, Facebook heeft al meerdere malen overduidelijk bewezen niet te vertrouwen te zijn. En met dit nieuwsbericht maken ze dat maar wederom eens duidelijk.

Bender @vosManz • 10 februari 2020 12:34

Je zegt zelf al, officieel.
En onofficieel? Waar zaten developers, waar zaten de eigenaren?

Ik beweer ook niet dat een Russisch bedrijf minder te vertrouwen is.

vosManz @Bender • 10 februari 2020 13:51

Wat ik dus probeer te zeggen is dat de (geografische) oorsprong van een bedrijf niets zegt over of het bedrijf te vertrouwen is of niet. Waar de eigenaren/developers officieel of onofficieel zitten is dus geheel niet relevant. Ze moeten zich houden aan de wetten van de landen waarin ze actief zijn, net als alle andere bedrijven.

Met je opmerking 'Waarom vertrouw je een Amerikaans bedrijf meer dan een van oorsprong Russisch bedrijf?' wek je wel de indruk dat een Russisch bedrijf minder te vertrouwen is, Marnixjee had het immers niet eens over de oorsprong van het bedrijf.

wifikabelhuren @Aiii • 10 februari 2020 12:28

Wat is er mis met sms? Als je geen whatsapp hebt, dan is sms toch de beste oplossing aangezien iedereen dit heeft.

Bender @wifikabelhuren • 10 februari 2020 12:44

Omdat sms zeer beperkt is ten opzichte van moderne messaging apps.

[Reactie gewijzigd door Bender op 22 juli 2024 23:20]

wifikabelhuren @Bender • 10 februari 2020 13:28

Denk dat je sms bedoelt.. maar dan is het de vraag wat je precies wil.

of je data bloot leggen, of sms gebruiken (wat iedereen heeft)

Bender @wifikabelhuren • 10 februari 2020 13:42

Ik bedoel inderdaad SMS.
En met SMS leg je het net zo goed bloot, daar kennen ze net zo goed geen e2e encryptie.

tweaknico @Bender • 11 februari 2020 01:26

Kan wel met een voorganger van signal: Silence.

Boy @wifikabelhuren • 10 februari 2020 12:43

groepschats? Bestaan die met SMS?

kozue

Facebook

@Aiii • 10 februari 2020 13:53

Valt wel mee hoor. Ik heb geen whatsapp en vrienden communiceren dan gewoon op andere manieren met mij. Iedereen die niet meer met je wil praten omdat je 1 suffe app niet hebt is toch de moeite van het spreken niet waard.

Aiii @OxWax • 10 februari 2020 12:04

Dat heeft geen enkele relevantie. Tijden veranderen, en tegenwoordig communiceert men voornamelijk via tekstberichten op de telefoon. In Nederland doen we dat met WhatsApp tegenwoordig, dus is het niet gebruiken van WhatsApp in 2020 nadelig voor je sociale contacten.

R4gnax

Datalek
Networking en security
Privacy

@Aiii • 10 februari 2020 19:41

Dat heeft geen enkele relevantie. Tijden veranderen, en tegenwoordig communiceert men voornamelijk via tekstberichten op de telefoon. In Nederland doen we dat met WhatsApp tegenwoordig, dus is het niet gebruiken van WhatsApp in 2020 nadelig voor je sociale contacten.

Stelling: als jouw contacten niet de moeite kunnen of willen nemen om jouw keuze te respecteren jezelf niet aan die sociale media bloot te geven, en niet de moeite kunnen of willen nemen om een simpel SMSje te sturen -- of 'k-weet-niet; gewoon eens te bellen? --

... zijn het dan wel contacten die daadwerkelijk sociaal de moeite waard zijn en waarop je ook echt kunt rekenen als je ergens mee zit, bijvoorbeeld?

DezeJongen @OxWax • 10 februari 2020 12:08

Tijden zijn anders nu. Als iedereen gebruik maakt van een platform maar jij hierzelf niet in meegaat, dan is de kans groot dat je buitengesloten wordt.

tweaknico @DezeJongen • 11 februari 2020 01:31

En dan?...
Als we niet fatsoenlijk met elkaar om kunnen gaan dan maar niet denk ik.

Bezwijken aan groepsdruk ... waarom moet een groep drukken dan.
Niet mee willen doen aan (A)sociale media is een valide reden. Dat je collega's met plezier de EULA overtreden en een loopje nemen met andermans privacy is ook zo een dingetje.
(Je in de EULA van whats app verklaar je dat je van iedereen toestemming hebt gekregen dat de infor van de contacten lijst geoogst mag worden).

supersnathan94

Datalek

@OxWax • 10 februari 2020 12:07

Nou ik weet wel dat men toen niet driehonderd mensen ging bellen na een avondje it eten om te vertellen hoe het eruit zag.

Maar tijden veranderen nu eenmaal. Ik wordt al raar aangekeken in een random kroeg als ik geen instagram heb. Dat ik ook zoiets heb van ja geef gewoon je nummer ofzo. Het is niet dat SMS niet meer werkt sinds introductie van whatsapp.

OxWax @Verwijderd • 10 februari 2020 11:37

Wie vertrouwt u wel met "uw gegevens"?

The_Prodigy1982 @OxWax • 10 februari 2020 11:45

Eigenlijk kun je niemand tegenwoordig nog vertrouwen... zeker niet als het om geld gaat.
Je wilt niet weten hoe vaak onze persoonlijke gegevens worden gedeeld tussen allerlei instanties.
We denken wellicht dat onze overheid of wie dan ook zorgvuldig met onze gegevens omgaat, maar ook dat soort instanties spelen alles aan elkaar door... ondanks dat we daar helemaal geen toestemming voor geven.

Dus ja, we vallen dan wel massaal over Facebook (en terecht), maar eigenlijk is het overal wel een zooitje.

OxWax @The_Prodigy1982 • 10 februari 2020 11:57

Dus ja, we vallen dan wel massaal over Facebook (en terecht), maar eigenlijk is het overal wel een zooitje.

My point exactly. Wat je niet deelt, kan niet gedeeld worden.
Zo simpel is het.

jDuke @OxWax • 10 februari 2020 12:11

Alleen is het dan wel weer jammer dat je gegevens wel bij de RDW moeten staan. En derden partijen (bedrijven die parkeerboetes innen voor gemeentes) toegang krijgen tot dit register. En hiervan misbruik wordt gemaakt (criminele toegang tot de NAW gegevens) en de RDW zegt dat de organisaties zelf verantwoordelijk zijn voor het toezien van juiste toegang. Lekker naief en zo probeert de RDW achter beleid en regeltjes onder verantwoordelijkheid te komen. Laten we over de KvK maar niet beginnen, verplichte inschrijving kan ik me invinden maar dan grof geld verdienen aan die data te verkopen

[Reactie gewijzigd door jDuke op 22 juli 2024 23:20]

TheProf82 @jDuke • 10 februari 2020 12:48

Is dat KvK-verhaal niet opgelost?

https://www.rtlz.nl/busin...esgegevens-zzper-dwang-ap

Kastermaster @OxWax • 10 februari 2020 12:22

Dat is niet correct. Ook anderen delen namelijk constant informatie over je. Hierdoor ben ik ook afgestapt van een totaal afgesloten account. Voorbeeld: een kennis deelde toen een carnavalsfoto (met veel drank en dronken taferelen) van mij en enkele vrienden op Facebook en dat was lange tijd het enige spoor dat van mij te vinden was op het sociale medium. Nu ik mijn account open heb gegooid ontstaat er in ieder geval een meer genuanceerd en door mij gecontroleerd beeld. Helaas ligt privacy dus niet geheel in je eigen handen. En dit is slechts één voorbeeld.

calvinturbo @Verwijderd • 10 februari 2020 11:39

Moraal is inderdaad ver te zoeken bij Facebook..

R4gnax

Datalek
Networking en security
Privacy

@calvinturbo • 10 februari 2020 19:48

Moraal is inderdaad ver te zoeken bij Facebook..

Moraal is ver te zoeken bij praktisch elk grootbedrijf. Zeker als er beurzen en investeerders mee gemoeid zijn. Kapitaal über alles, zoals dat heet

Maar ja; Facebook maakt het wel bijzonder boud. Zeker de laatste jaren is het schandaal na schandaal. En iets zegt me dat die beerput nog lang niet op zal houden te stinken.

Je zou haast denken dat de beste meneer Suikerberg bezig is met een race tegen de tijd om op zijn weg naar de hel een parkeerplaats naast de duivel afgekocht te krijgen, of zoiets.

[Reactie gewijzigd door R4gnax op 22 juli 2024 23:20]

demonic @Verwijderd • 10 februari 2020 11:31

Nee, dat zou namelijk niemand moeten doen.

Nevel @Verwijderd • 10 februari 2020 12:01

In tegendeel, dat lijkt me zeer terecht.

BruT@LysT @Verwijderd • 10 februari 2020 13:09

Nee ik vind het vreemd dat je deze opmerking hier uberhaupt plaatst. Daar zet ik mijn vraagtekens bij

Brousant @Verwijderd • 10 februari 2020 13:52

Vinden jullie het vreemd als ik Facebook eigenlijk niet vertrouw met mijn gegevens?

Nou, eerlijk gezegd hadden we dat nou nooit van jou verwacht...

primanocte

10 februari 2020 11:30

[quote]
De zaak is vorige maand al stilletjes geschikt. Volgens de gemaakte afspraken bekent Facebook geen verantwoordelijkheid en betaalt het bedrijf geen schadevergoeding.
[quote]
hoe dan... dit moet toch minimaal op waarheid onderzocht worden..

Raymond Deen @primanocte • 10 februari 2020 11:53

Facebook gaat echt niet schikken wanneer ze er ook onderuit kunnen komen.
Het is een beetje goochelen met woorden, maar ze erkennen wel dat het gebeurd is en nemen er vervolgens niet de verantwoordelijkheid voor

WhatsappHack

Facebook
Privacy
Networking en security
Datalek

@Raymond Deen • 10 februari 2020 12:08

Bij een schikking niets hoeven erkennen is normaal. Je schikt om een zaak te voorkomen. Als je toch verantwoordelijkheid moet erkennen kan je net zo goed wél de rechtszaak laten lopen om te proberen er helemaal onderuit te komen.

Raymond Deen @WhatsappHack • 10 februari 2020 12:58

Dat is ook wat ik zeg.
Ze voorkomen een zaak, op voor hun heel fijne voorwaarden, omdat ze wel degelijk zelf weten dat wat ze hebben gedaan niet de schoonheidsprijs verdient.
Als ze hadden gedacht dat ze er zonder schikking helemaal vanaf hadden kunnen komen, dus onschuldig voor de rechtbank, dan hadden ze dat waarschijnlijk wel gedaan.

WhatsappHack

Facebook
Privacy
Networking en security
Datalek

@Raymond Deen • 10 februari 2020 14:39

Dat hoeft niet perse. Een rechtszaak kost ziekelijk veel geld, als je verliest (en die kans is er altijd) des te meer want de advocaten van de tegenparij leven ook niet op water. Zelfs als je onschuldig bent als bedrijf, kan schikken simpelweg het gunstigst en goedkoopst zijn. Of dat hier ook het geval is laat ik ff in ‘t midden.

Auredium 10 februari 2020 11:44

Ik zie dit als een mogelijk wapen van de Verenigde States hun overheid voor het opsplitsen van Facebook. Het is zo dat er al langer stemmen en procedures bezig zijn in de VS om de macht van Facebook te breken. Dit soort praktijken zijn daarbij juridische 'kogels' die gebruikt kunnen worden door de VS om het bedrijf te dwingen tot splitsing.

Kat uit de boom 10 februari 2020 12:10

Het zou toch eigenlijk heel goed zijn als FB zijn activiteiten zou moeten stopzetten vanwege wanbeleid, inbreuk op privacy en nalatigheid.

Naar mijn mening zou FB eens juridisch vervolgd moeten gaan worden en een aantal personen waaronder Mark Zuckerberg daarvoor persoonlijk verantwoordelijk houden. Eigenlijk is het schandalig dat hij nog vrij rond loopt.

[Reactie gewijzigd door Kat uit de boom op 22 juli 2024 23:20]

xStunned 10 februari 2020 11:28

Als het geen geld oplevert heeft het geen haast bij Facebook..

3raser @xStunned • 10 februari 2020 11:35

En als het geld kost? Want dit lek kost je zowel gebruikers als slechte publiciteit.

SinergyX @3raser • 10 februari 2020 11:42

En dat merken ze hoe? Omzet gestegen (+~25%), netto winst gestegen, enige met een beetje deuk is het aandeel, maar dat is meer vanuit het zut wat de 'top' bereikt, maar waar gebruikers zich totaal niet druk om maken.

Archcry @3raser • 10 februari 2020 11:48

Nja, laatst heeft Facebook ook al een rechtzaak omtrent gezichtsherkenning geschikt voor 550 miljoen dollar. Hier merken ze niet zo veel van in hun financiën.

Het schikkingsbedrag van 550 miljoen dollar levert nauwelijks een deuk op in de financiële resultaten van het sociale netwerk. Facebook behaalde in het afgelopen kwartaal een omzet van 21,1 miljard dollar, een stijging van 25 procent ten opzichte van een jaar geleden. De nettowinst bedroeg 7,35 miljard dollar en dat was een stijging van 7 procent.

En zolang Facebook lekker blijft ontkennen dat ze de fout in zijn gegaan en er geen uitspraak komt dan zullen gebruikers er ook niet veel waarde aan gaan hechten. Wat Facebook doet door te schikken is het nieuws omtrent het probleem zo min mogelijk houden waardoor het minder gebruikers bereikt.

[Reactie gewijzigd door Archcry op 22 juli 2024 23:20]

AmigaWolf @3raser • 10 februari 2020 15:59

En als het geld kost? Want dit lek kost je zowel gebruikers als slechte publiciteit.

Nee blijkbaar niet, want er komen alleen maar meer mensen bij bij Facebook, Facebook is al gegroeid naar 2,32 miljard gebruikers nu, en NIKS gedaald, die letterlijk paar mensen die zeggen dat ze stoppen met Facebook stelt niks voor jammer genoeg.

Blijkbaar interesseert het weinig mensen, de slechte publiciteit van Facebook.

shades 10 februari 2020 11:53

Facebook laat weer eens een steekje vallen: "what else is new"....

Op dit item kan niet meer gereageerd worden.

Facebook liet kwetsbaarheid die leidde tot groot datalek 9 maanden onopgelost

Lees meer

Reacties (84)

Sorteer op:

Weergave: