Configuratieprobleem bij Facebook zorgde voor onbedoelde log-outs

Door een configuratiewijziging bij Facebook op vrijdag werden gebruikers per ongeluk uitgelogd. Dat lijkt voornamelijk voorgekomen te zijn bij gebruikers van de iOS-applicatie van het platform. Het euvel is inmiddels verholpen, laat Facebook weten.

De problematiek was ook nog erger voor gebruikers die tweetrapsauthenticatie ingeschakeld hebben; die moesten lang wachten tot de sms-berichten met codes aankwamen. Dat blijkt uit een topic op /r/facebook. In de loop van de zaterdag heeft Facebook het probleem weten te verhelpen.

Onduidelijk is hoeveel gebruikers getroffen zijn door het probleem. Meldingen ervan zijn in ieder geval niet moeilijk te vinden op Twitter en Reddit. Tegenover The Verge laat Facebook alleen weten dat het probleem inmiddels verholpen is, met een excuus voor het ongemak.

Lees meer

IT Banen

Deel je skills voor jouw droombaan Meld je aan!

Reacties (56)

phYzar
24 januari 2021 11:08

De wereld zou beter af zijn wanneer dit een feature ipv een bug was.

K-aroq
@phYzar • 24 januari 2021 11:25

Je was me net voor. Ik moet nu constant handmatig uitloggen. Eigenlijk zou dit bij alle site/diensten zo moeten zijn dat al je het afsluit je uitgelogt bent. Ook deze site bijvoorbeeld. Ik heb geen idee wat DPG doet zolang ik niet uitlog.

The Zep Man

Internet

@K-aroq • 24 januari 2021 11:59

Daar heb je browserextensies voor, die cookies verwijderen nadat bijvoorbeeld een tabblad is gesloten of een site is verlaten. Configureert het wel goed. Je wilt niet inkopen doen bij een webwinkel, naar een bank of PayPal doorgestuurd worden, om terug te komen en uit te vinden dat je niet meer bent ingelogd.

CodeCaster
@The Zep Man • 24 januari 2021 12:45

Dat maakt tegenwoordig (als in: de afgelopen 10+ jaar) niet meer uit; op de achtergrond wisselen de betalingsprovider en de site de betaling gewoon uit. Het slagen van de betaling hoeft niet meer door de browser te worden teruggemeld aan de site waar je de bestelling deed.

Overheid
@CodeCaster • 24 januari 2021 12:54

Helaas maakt het wel uit. Veel sessie tokens (bijvoorbeeld voor DigiD) worden wel degelijk in een cookie gezet. Zo ook sessie tokens voor een betaling bij een heleboel webshops.
Als je de betaling dus hebt gedaan, en niet meer terugkeert naar de webshop om de betaling af te ronden, kan het langer duren voordat je je pakketje binnen hebt.
Meestal draait er wel een cronjob om zulke betalingen alsnog op te vangen, maar niet continu.

CodeCaster
@Overheid • 24 januari 2021 12:59

Nee, de terugkoppeling (bijvoorbeeld van Buckaroo) wordt direct na betaling tussen de servers uitgewisseld. Daar komt geen browser of cookie aan te pas, en DigiD heeft al helemaal niks met betalingen te maken.

Er zijn wel shops die nog afhankelijk zijn van de postback en die inderdaad periodiek de betalingen ophalen bij de provider om te controleren of ze ze allemaal hebben verwerkt, maar die zouden anno 2021 niet meer mogen bestaan.

[Reactie gewijzigd door CodeCaster op 24 januari 2021 13:01]

AmazingDreams
@CodeCaster • 24 januari 2021 16:01

Postbacks kunnen om allerlei redenen mis gaan, hoewel de provider meestal meerdere keren herhaalt tot de postback is gelukt. Er is niks mis met een cronjob om te checken of alles is verwerkt

CodeCaster
@AmazingDreams • 24 januari 2021 17:11

Daar gaat het hier niet over. Men claimt dat webshops tegenwoordig nog steeds de post, vanuit de browser, van de betaalprovider terug naar de website nodig hebben, inclusief cookies van de gebruiker, om een betaling te laten binnenkomen bij de webshop.

Zo werkt het echt al heel lang niet meer, de betaalproviders sturen direct naar een endpoint van de webshop dat een betaling al dan niet is geslaagd, zonder tussenkomst van de browser van de gebruiker. Je kunt prima je browser sluiten op de succespagina van de bank na iets in een webshop te hebben gekocht.

Voor de enkele shop die dat nog niet heeft geregeld, en die dus wél afhankelijk is van de postback van bank naar de betaalprovider naar de webshop heb je óók geen cookies nodig; de order- en transactiegegevens staan in de parameters van die post.

En dan jouw punt: als je zo'n shop hebt die nog afhankelijk is van die postback door de browser van de gebruiker, heb je inderdaad een cronjob nodig om regelmatig betalingen te syncen, maar dat heb je sowieso: de webhook/API-callback/give it a name, als die er wél is, kan inderdaad ook om wat voor reden dan ook mislukken.

Als een shop én geen webhook/callback heeft, én geen cronjob, én afhankelijk is van cookies om die postback te verwerken, dan moet die shop echt direct bijgewerkt worden naar hedendaagse standaarden, want die gebruikt een hopeloos verouderde aanpak.

[Reactie gewijzigd door CodeCaster op 24 januari 2021 17:14]

AmazingDreams
@CodeCaster • 24 januari 2021 18:56

Ah excuus, ik dacht aan de API-callback. Via cookies is echt hopeloos verouderd inderdaad

supersnathan94
@Overheid • 24 januari 2021 14:46

Voor digid ws wel, maar webshops leveren een callback url bij de provider aan waar de bevestiging naartoe wordt gepushed en een redirect voor de gebruiker met bevestiging. Dus dat zou geen issue op moeten leveren.

Zer0
@K-aroq • 24 januari 2021 11:59

De juiste cookies blokkeren, problem solved..

BugBoy
@K-aroq • 24 januari 2021 12:07

Waarom log je uit? Je wordt dan nog net zo hard getrackt volgens mij.

lenwar

Internet

@BugBoy • 25 januari 2021 07:25

Waarschijnlijk wel. Maar als je uitlogt is je sessie-id ongeldig geworden. Vanuit dat perspectief is het beter om altijd uit te loggen.

CodeCaster
@K-aroq • 24 januari 2021 12:43

Wat denk je dat uitloggen doet? Wat denk je wat een website kan doen als je niet uitlogt, en waarom zouden ze dat niet kunnen doen als je uitlogt?

In essentie komt uitloggen neer op cookies weggooien. Het is niet alsof er ergens een proces blijft draaien als je niet uitlogt.

En uitloggen bij Facebook verwijdert niet alle cookies, ze kunnen je nog steeds gewoon volgen.

[Reactie gewijzigd door CodeCaster op 24 januari 2021 13:39]

lenwar

Internet

@CodeCaster • 25 januari 2021 07:29

Nee, als je uitlogt wordt je sessie ongeldig/vernietigd. Alle cookies kan de site gewoon laten staan. Opruimen is niet nodig want bij de volgende keer inloggen overschrijft hij ze weer.

Facebook heeft overigens meer manieren om je te traceren. Cookies zijn daar niet voor noodzakelijk. Je browser cache kan daar prima voor (mis/ge)bruikt worden.

CodeCaster
@lenwar • 25 januari 2021 08:41

Ja, er bestaat zoiets als "sessies", een functie van webframeworks om te doen alsof HTTP niet stateless is. Dit is opslag op de server waarnaar je kunt refereren met een sessie-ID. Dit wordt echter al jaren afgeraden en minder gebruikt, omdat het slecht schaalt en andere nadelen heeft. Ook zijn er webframeworks en -applicaties die een login-sessie in een database opslaan, maar ook dat schaalt slecht en is niet nodig. Ook Tweakers doet dat nog, maar dat is dan ook een custom codebase die een jaar of twintig oud is.

Het afgelopen decennium is men overgestapt op "tickets" of "tokens" voor logins, althans, bij enigszins goed opgezette webapplicaties. Hierbij geeft het inloggen een versleuteld en/of cryptografisch ondertekend token waarmee de gebruiker kan bewijzen dat 'ie is wie 'ie zegt dat 'ie is. Dit token wordt opgeslagen in een cookie en/of local storage, en die cookies worden weggegooid (of overschreven met "gebruiker X wás hier ingelogd") bij het uitloggen.

Het is níet alsof er (nogmaals, in een volgens hedendaagse standaarden, goed ontwikkeld, op een modern webframework gebouwde webapplicatie) een "sessie" wordt opgestart in de zin van dat er iemand bij een telefooncentrale een draadje tussen jou en de website prikt, en dat die er bij het uitloggen wordt uitgetrokken zodat de "sessie" weg is.

En dan nóg. Het oorspronkelijke punt waar we hier op aan het reageren waren, was (geparafraseerd): "Je moet uitloggen, anders weet je niet wat 'ze' doen met je sessie". Ongeacht of die "sessie" bestaat uit een token, een PHP-sessie of een login-sessie in de database; als de site kwaad wil met jouw gegevens, dan kunnen ze prima jou voordoen dat de sessie beëindigd is, maar onder water jouw token/identifier/whatever bewaren om dingen mee te doen. Of je tracken, want daarvoor worden dezelfde en andere cookies gebruikt.

lenwar

Internet

@CodeCaster • 25 januari 2021 09:04

Klopt uiteraard allemaal, maar ik doelde meer op de opmerking dat uitloggen 'in essentie' cookies weggooien is, en dat dat is niet per definitie hetzelfde is (het is uiteraard wel een methode die toegepast kan worden).

Sessie bedoelde ik overigens meer als generieke term, als in je gebruikssessie (die al dan niet op de achtergrond verlengt wordt) en niet als technische term waar in dit geval een browser en een webserver een soort lijntje openhouden. Ik denk dat ik inderdaad beter een ander woord had kunnen gebruiken.

KoffieAnanas
@phYzar • 24 januari 2021 11:13

En laat twitter vervolgens dat goede voorbeeld volgen.

Automark
@KoffieAnanas • 24 januari 2021 12:03

Zonder sociale media wordt de wereld -denk ik- wel weer wat socialer. Veel kinderen en jongeren weten niet meer wat "normaal" is, en leven in een droom/bubbel. En durven irl geen contact met elkaar meer op te nemen. En dan nog die fratsen als die challenges zoals gister werd beschrven op tiktok nieuws: Italië legt TikTok aan banden wegens gebrekkige handhaving minimumlee...

litebyte

Facebook

@Automark • 24 januari 2021 12:16

Social Media is op zichzelf niet het probleem. Het probleem is wat social media bedrijven doen om jou zolang mogelijk te kluisteren aan social media, Zie het als de nicotine en alle andere schadelijke stoffen in de sigaret om je zo lang en zo goed mogelijk verslaafd te houden.

Door 'slimme' algorithms, belonings- en waarderingssystemen het product (dat ben jij als gebruiker van facebook) zolang mogelijk vasthouden.

Er zijn gezondheidsvriendelijkere versies (in de maak) zoals Okuna

lenwar

Internet

@Automark • 25 januari 2021 09:28

In mijn beleving is Facebook dan ook geen 'Social media' meer. Het is meer een soort microblog-platform geworden waar mensen op kunnen reageren.

Er wordt nog maar heel erg weinig door individuen gepost. Het leeuwendeel van nieuwe inhoud bestaat uit bedrijven/nieuwsorganisaties/enz (in elk geval niet-individuen) in de vorm van 'nieuws'/'reclame'/'leuke 'vind-ik-leuk' en deel-inhoud'. En vervolgens kunnen individuen daar over klagen of 'vind-ik-leuk-en'

Vroeger was het meer een sociaal platform omdat men er toen nog hun dagelijkse gein en ongein op zette en vervolgens konden je Facebookvrienden daar dan op reageren. Je kon op die manier relatief makkelijk oppervlakkig contact houden met vrienden die een eind verderop wonen. Tegenwoordig is dat niet meer.

Bovenstaande geldt overigens voor meer platformen (in meer of mindere maten). Kijk naar de gemiddelde inhoud van Pinterest, Instagram of Tumblr. Uiteraard staat er ook best een boel 'persoonlijk spul' op wat echt door individuen is geplaatst, maar de niet-individuen hebben echt de overhand.

Op een platform als TikTok zie je volgens mij nog wel dat individuen nog het merendeel van de inhoud plaatsen.

Noresponse
@phYzar • 24 januari 2021 12:04

Yep , maar wellicht zit er meer achter en willen ze kijken welke accounts weer inloggen. Je hebt volgers en je hebt gebruikers/volgers en gebruikers die alles delen.

computerjunky
@phYzar • 24 januari 2021 12:39

Inderdaad ! ! !

Het zorgt in ieder geval dat er minder impuls posts zijn. je moet immers even 10 seconden inloggen waarin je hersenen kunnen resetten van je post dwang modus.

beerse
@phYzar • 24 januari 2021 13:00

Helemaal mee eens. Overal waar mfa (of 2fa) is ingesteld 'omdat het veiliger is' en waar dan voor het gemak de sessie lang open blijft staan, zou ik zeggen dat er ook ingesteld moet kunnen worden dat er na een bepaalde tijd automatisch wordt uitgelogd. En dat dan standaard op 5 weken zetten: net iets meer dan 1 maand.

En dan de bepaalde tijd kunnen instellen op bijvoorbeeld 'dagelijks', 'wekelijks', 'maandelijks', 'jaarlijks' en dat dan net iets ruimer opzetten: 25 uur, 10 dagen, 5 weken, 55 weken of zo iets.

VHware
@beerse • 24 januari 2021 16:53

Ik zou eerder opteren voor standaard 3 weken eigenlijk.

m_snel
@phYzar • 24 januari 2021 13:03

Inderdaad, volgens mij na de eerste keer nooit meer ingelogd, onder tussen al een andere telefoon.

Kreeg ook de melding dat mijn sessie verlopen was, na misschien meer dan twee jaar dus.

lenwar

Internet

@phYzar • 25 januari 2021 07:48

Automatisch uitloggen van een app is niet erg gebruiksvriendelijk. Het voegt daarbij ook niet zoveel toe.

Dark Angel 58
@phYzar • 25 januari 2021 11:34

De wereld zou beter af zijn wanneer dit een feature ipv een bug was.

Nou, ik zou echt fijn vinden als Facebook alle accounts per abuis stopzet

Dat is echt een natte droom voor privacy organisaties

Zackito
24 januari 2021 11:30

Geen last van gehad omdat ik de app verwijderd heb maar wat heb ik een spijt dat ik ooit FB aangemaakt.

Zonde van mijn tijd geweest en wordt nu overal getrackt door FB. Ik dacht dat google erg was.. gelukkig zijn er genoeg oplossingen om tracking zoveel mogelijk te beperken.

[Reactie gewijzigd door Zackito op 24 januari 2021 11:32]

Boy
@Zackito • 24 januari 2021 11:43

Je hoeft geen spijt te hebben ervan. Als je nooit FB hebt gebruikt, heeft FB alsnog een profiel over jou en hebben ze dat waarschijnlijk op een andere manier aan je weten te koppelen: https://www.dailydot.com/...dow-profiles-privacy-faq/

FreVDP
@Boy • 24 januari 2021 11:50

Inderdaad, zoveel mensen hebben hun contacten gesynct met facebook, dus facebook weet perfect welke naam aan jouw telefoonnummer hangt, andere contacten hebben je opgeslagen met je bijnaam, die kennen ze nu ook, andere contacten hebben ook je adres, je geboortedatum en een foto aan je contactpagina hangen, dat kent facebook ook, dus ze kunnen meteen je gezicht linken als je eens in de achtergrond verschijnt van foto's op een feestje. (Hoewel er tegenwoordig niet al te veel feestjes meer zijn), ook al heb je mogelijks nooit een foto op facebook gezet.

Dat is dan nog eenvoudig en oppervlakkig. En dan niet te vergeten dat facebook een van de zovele bedrijven is die data hebben van niet-klanten.

[Reactie gewijzigd door FreVDP op 24 januari 2021 11:51]

Boy
@FreVDP • 24 januari 2021 11:55

Dit klinkt allemaal als de perfecte basis voor een dystopieverhaal.

densoN
@Boy • 24 januari 2021 13:29

Was het maar een denkbeeldig scenario.

FreshMaker

Internet

@Boy • 24 januari 2021 16:03

Dit klinkt allemaal als de perfecte basis voor een dystopieverhaal.

Ga jij nu vertellen dat je niet geloofd in tijdsreizen ?

Of is het toeval dat iemand in 1946 een boek schrijft over 1984, maar het op heel veel punten overeenkomt met de jaren 2000 ?

Boy
@FreshMaker • 24 januari 2021 16:19

1984 toevallig een jaar geleden uitgelezen, ik vond het eigenlijk meer toepasselijker op de huidige situatie met Corona. Als je de complotisten (is dat een woord?) gelooft, is 1984 gewoon de waarheid momenteel en zien wij het allemaal niet.

Het grote verschil is dat wij niet bang zijn om iets anders te geloven; op het moment dat ik denk dat de regering idd erachter zit en corona gemaakt hebben om ons thuis te laten zitten / te controleren, dan mag ik dat. Daar zijn geen gevolgen voor.

Zackito
@Boy • 24 januari 2021 11:54

Hmm, oké verbaasd me enerzijds niet.

We zijn allemaal voor een “open” en vrij internet hé, maar moet er niet opgetreden worden tegen dit soort mafia praktijken?

Techbedrijven die steeds meer invloed krijgen en bepalen wat goed en fout is. Veel fake nieuws op social media wat veel mensen geloven zonder na te trekken of het waar(geld ook voor de nationale Nederlandse TV). Een Gommers die zegt dat het IC vol ligt en twee weken later blijkt dat IC slechts voor 65% bezet zou zijn.. de waarheid zal waarschijnlijk in het midden liggen.

BugBoy
@Zackito • 24 januari 2021 12:06

Dat is ook afhankelijk van je definitie van vol. Een IC heeft ook een functie voor noodopvang (bijv. om iemand te kunnen verzorgen na een onverwachts auto-ongeluk). Daarvoor houdt een IC afdeling bedden vrij, zodat er bij calamiteiten nog bedden zijn.

Ook worden er IC bedden gebruikt om mensen te verplegen, waarbij complicaties zijn opgetreden bij een operatie. Als er al teveel bedden in gebruik zijn, dan wordt de operatie dus afgelast omdat er geen bed beschikbaar is voor dit soort "voorzienbare" gevallen. Dan wordt dus een operatie afgelast, omdat de IC "vol" is.

Overigens kan het ook zijn dat er wel fysieke plaatsen beschikbaar zijn, maar dat er geen personeel is om de mensen te verzorgen. In de zorg is er veel uitval van personeel. Doordat deze groep niet thuis kan werken, met veel mensen in aanraking komen, waarbij ook nog een veel groter percentage COVID-19 heeft is het uitvalspercentage daar veel hoger. Zonder personeel heb je niets aan een IC bed en is de afdeling ook "vol".

Beide partijen hebben in deze dus gelijk, maar de definitie "vol" is eigenlijk niet correct. De IC zit aan zijn maximaal (planbare) capaciteit. In de media is niet altijd ruimte voor dit soort nuance, maar het wordt maar al te graag aangegrepen om het als nep-nieuws aan te merken.

Overigens vind ik dat Trump gelijk had om section 230 aan te pakken (wel om de verkeerde reden, maar toch). Daarin staat dat Google, Facebook, Twitter, ... niet verantwoordelijk zijn voor wat er gepubliceerd wordt op hun platform. Een zoekmachine verwijst enkel naar de website, maar Facebook, Twitter en YouTube faciliteren de verspreiding van dit soort pulp en verdienen daar flink aan. Hoog tijd om dat keihard aan te pakken. Dan is het meteen gedaan met dit soort mega-bedrijven die de media beheren,

Boy
@Zackito • 24 januari 2021 11:58

ja, ik denk echt dat er iets aan gebeuren moet. Ik doe maar kleine dingen, hoop een een sneeuwbaleffect.

offtopic: 65%? Waar staat dat?

Zackito
@Boy • 24 januari 2021 21:19

Offtopic: Kan het niet meer vinden, kwam naar boven via de news widget op iOS. Het was wel bij een bekende Nederlandse krant.

lenwar

Internet

@Zackito • 25 januari 2021 09:16

Je wordt ook door Facebook gevolgd als je nooit een account hebt gehad hoor. Iedere site met een 'like/deel/enz. icoontje' van Facebook zorgt ervoor dat je gevolgd wordt. Dat staat helemaal los van of je ooit een account hebt gehad of niet.

Zackito
@lenwar • 25 januari 2021 09:24

Facebook container van firefox kan dit voor een groot deel voorkomen.

[Reactie gewijzigd door Zackito op 25 januari 2021 09:25]

lenwar

Internet

@Zackito • 25 januari 2021 09:32

Dat zorgt er toch alleen voor dat je www.facebook.com sessie in een aparte firefox-container gezet wordt? Dat staat toch los van het 'vind-ik-leuk' icoontje op alle pagina's van het internet (gechargeerd). Het enige dat Facebook dan niet direct kan doen is het 'vind-ik-leuk' icoontje koppelen aan je ingelogde sessie die je op dat moment hebt. Voor de rest kunnen ze je prima profileren met een 'spook-account'

NLatuny
24 januari 2021 11:36

Is dit echt nieuws?

"Mensen zijn even uitgelogd en konden daarna weer inloggen"

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Bor op 24 januari 2021 11:57]

Vorkie
@NLatuny • 24 januari 2021 11:45

Het nieuws is dat veel mensen dachten gehackt te zijn geweest, je moest ook je 2FA invullen, die later / niet binnenkwam door die enorme uh “great reset”

WhatsappHack

Internet
Facebook

24 januari 2021 15:54

Ik heb 2FA aanstaan, maar daar werd niet om gevraagd. Als bonus is wel Dark Mode beschikbaar gekomen in de Instellingen van de app.

ari
@WhatsappHack • 24 januari 2021 16:18

Heb je wellicht de browser of je telefoon toegevoegd als 'vertrouwd apparaat'? Bij sommige sites is dat een heel mooi vinkje dat soms alvast heel handig standaard aangevinkt staat.

hania82
24 januari 2021 16:36

Offtopic
Ik heb een andere foutmelding. De Android app van facebook gaf aan dat hij de Nederlandse taal niet kon laden. En bij akkoord verder gaat in het Engels. Gebeurd wel vaker bij mij.
Erg raar

Buzz_Fuzz
24 januari 2021 16:53

Hier geen probleem, maar toevallig die dag wel een melding van een verdachte inlogpoging. In m'n account echter niet speciaals te zien.

TwaalfdeMan
24 januari 2021 19:15

Ik werd ook uitgelogd. Er stond ‘sessie verlopen’. De vraag is of dit echt een configuratieprobleem was of iets anders. Ik ben ook 1 van de Facebookgebruikers die binnenkort zijn account definitief gaat verwijderen. Ik gebruik het al heel lang veel minder dan ik in het verleden deed. Ondanks dat zij zeggen dat er binnen de EU niks wijzigt mbt de voorwaarden, vertrouw ik ze totaal niet en kan het net zo goed verwijderen ipv ‘het product’ zijn waar zij geld aan verdienen.

retroguy
@TwaalfdeMan • 25 januari 2021 06:20

Maar dan heb je er toch mooi jarenlang gratis gebruik van gemaakt.

lenwar

Internet

@TwaalfdeMan • 25 januari 2021 07:45

ipv ‘het product’ zijn

Nu nog al je andere internet-accounts waar je het product van bent (alle sites die reclame laten zien die ‘gepersonaliseerd’ is (ofwel je meer van hetzelfde laat zien))

Facebook en consorte maken het transparant dat je het product bent, maar al die hinderden kleinere bedrijven die ongevraagd trackingscripts serveren zijn natuurlijk net zo erg.

Dan kan je denken: ik gebruik een adblocker, maar dan heb je ook geen last van de tracking van Facebook. Dan hebben ze dus een profiel van wat jij doet op hun platform die jou geen reclame laat zien. Succes daarmee zou ik zeggen