Facebook-gebruikers kunnen op Have I Been Pwned zien of telefoonnummer is gelekt

Facebook-gebruikers kunnen op Have I Been Pwned vanaf nu zoeken op telefoonnummer. Eigenaar Troy Hunt heeft de meer dan 500 miljoen nummers uit de online verschenen Facebook-dataset toegevoegd. Eerder kon alleen op e-mailadres gezocht worden.

Hunt was aanvankelijk niet van plan om zoeken op telefoonnummer toe te voegen aan zijn dienst, maar HIBP kreeg in de afgelopen tijd miljoenen bezoekers per dag vanwege de gelekte Facebook-dataset die in het nieuws was. Gebruikers willen weten of hun telefoonnummer onderdeel is van het lek, maar via HIBP was daar voor de meeste gebruikers niet achter te komen.

De Facebook-dataset was al toegevoegd aan de dienst, maar gebruikers konden alleen zien of hun telefoonnummer gelekt was als ook hun e-mailadres onderdeel is van de betreffende dataset. Dat was maar bij 2,5 miljoen gebruikers het geval. Volgens Hunt kreeg 99 procent van de bezoekers daardoor te zien 'niet getroffen' te zijn, terwijl er een grote kans is dat hun telefoonnummer wel onderdeel is van de dataset.

Naar aanleiding van de gelekte telefoonnummers verschenen er diverse alternatieve websites die het mogelijk maken om de dataset te doorzoeken. Ook dat heeft de eigenaar van HIBP ertoe bewogen om de telefoonnummers doorzoekbaar te maken, zodat gebruikers terecht kunnen bij de bekende dienst en geen gegevens in hoeven te voeren op een website waarvan de betrouwbaarheid onbekend is.

Alle gebruikers kunnen op Have I Been Pwned nu zoeken op een telefoonnummer. Dat werkt net zoals met e-mailadressen. Als het nummer onderdeel uitmaakt van een datalek, wordt dat aangegeven, zonder verdere informatie bekend te maken.

De Facebook-data komt van een datalek van een paar jaar oud. De dataset is nu uitgebreid in het nieuws omdat de volledige database gratis wordt aangeboden op hackerfora. Naar schatting van RTL Nieuws zitten er telefoonnummers van 5,4 miljoen Nederlanders in de database. Er zit ook andere persoonsinformatie bij, die bijvoorbeeld misbruikt kan worden voor gerichte phishingaanvallen.

Update, 13:10: Hunt meldt dat het verwerken van de nummers nog enige uren kan duren. Daardoor zijn mogelijk nog niet alle nummers vindbaar. Een test van Tweakers met een 06-nummer op het moment van publicatie, leverde al wel een hit op. Overigens moet gezocht worden op nummers in internationaal formaat. Nederlandse nummers moeten dus beginnen met 316 in plaats van 06 en voor Belgische nummers is dat 324 in plaats van 04.

Telefoonnummer Have I Been Pwned

Reacties (161)

jaspertjes 6 april 2021 12:26

Wat kan je doen als je nummer er tussen staat? Is het nodig je facebook wachtwoord te wijzigen? Andere accounts?

Vihaio @jaspertjes • 6 april 2021 12:50

Volgens het vorige artikel hierover kan de volgende informatie kan er van je online staan

telefoonnummers, Facebook-id's, volledige namen, locaties, voorgaande locaties, geboortedata, geslacht, relatiestatus, bio-teksten, datum van accountcreatie, werkgever en e-mailadressen.

Wachtwoorden zijn niet gelekt, dus je wachtwoord van FB of andere diensten wijzigen heeft geen zin*. En eigenlijk is er niks wat je kan doen, behalve extra alert zijn op phishing mailtjes/sms-jes/telefoontjes/IM-berichten. Die berichten kunnen nu specifieker voor jou bedoelt zijn omdat er gegevens van je gebruikt kunnen worden.

*Maar als je hetzelfde wachtwoord op meerdere sites gebruikt, dan is het aan te raden daar mee te stoppen, een password manager te gebruiken en die random wachtwoorden te laten genereren. Nu is je wachtwoord misschien niet gelekt, maar het is een kwestie van tijd voordat een site waarop je een account hebt je wachtwoord wel laat lekken. Als dat wachtwoord dan uniek is beperk je de schade tot dat ene account ipv meerder accounts die je hebt. Zelf ben ik tevreden gebruiker van 1password en Bitwarden lijkt ook populair en goed te zijn. Er is op het forum een topic met ervaringen met de verschillende wachtwoordmanagers.

[Reactie gewijzigd door Vihaio op 22 juli 2024 14:28]

batjes

Networking en security

@Vihaio • 6 april 2021 13:23

Als toevoeging, je hoeft niet zelf doelwit te zijn. Dit soort lekken zorgt er ook voor dat criminelen gerichter te werk kunnen gaan naar familie of vrienden.

Wachten... @Vihaio • 6 april 2021 13:42

Iedereen mag het zelf weten, maar als mijn gegevens ergens gelekt zijn, dan verander ik mijn wachtwoord.

Je moet bedrijven maar op hun woord geloven dat bepaalde data niet gelekt is. Ik neem dat risico niet en zou het persoonlijk niet verstandig vinden als je niet 5 minuten van je tijd wilt spenderen voor iets meer zekerheid.

Open je wachtwoord manager, maak een nieuw wachtwoord, kopiëren, plakken en klaar!

telenut @jaspertjes • 6 april 2021 12:42

Helemaal niks... tenzij opletten en als het echt niet anders kan uw nummer laten aanpassen.

Postman @jaspertjes • 6 april 2021 12:46

Wachtwoord wijzigen is geen slecht idee. Heb je hetzelfde wachtwoord (of er op lijkend) gebruikt op andere sites, dan die ook even wijzigen.
Verder zou ik vooral uitkijken met spam (niet alleen via e-mail, ook via SMS) en rare nummers die je bellen of via Whatsapp contacten. Ze hebben namelijk heel veel informatie van je, ook wellicht je geboortedatum. Ze kunnen dus heel gerichte phishing uitvoeren nu.

Moosjes @jaspertjes • 6 april 2021 12:47

Een ander telefoonnummer nemen is het enige wat je kan doen. Je facebook wachtwoord is niet gelekt

iDrone @jaspertjes • 6 april 2021 23:47

Wat je doen kan aan deze lek, niet veel meer dan wachtwoord wijzigen (ook al zeggen ze dat deze niet gelekt is), maar voor toekomstige lekken:

2-factor authenticatie met gebruik van authenticatie app aanzetten
Account op Privé zetten i.p.v. Publiek
Connecties van derden weigeren (websites en apps) - Dit heeft ook geholpen tegen het Cambridge Analytica schandaal.
En als je het echt rigoureus wil aanpakken, Facebook verwijderen.

Njamo 6 april 2021 12:04

TIP! Zoek met +31 ipv bijv. 06. Eerst geen resultaat, nu wel.

kodak

Networking en security
Datalek

@Njamo • 6 april 2021 12:25

Als je geen hit hebt kan je beter even wachten. Dat lijkt zelf ook beter als je nu de resultaten voor dit lek wil weten.

Hunt is nog bezig met importeren en gaf aan alleen nog maar de internationale nummers met 4, 6, 8, 9 geïmporteerd te hebben. https://twitter.com/troyhunt/status/1379366099544797189
Als je op +3 dus een melding krijgt komt dat waarschijnlijk omdat dat nummer wel al geïmporteerd was, of uit een ander lek. Dat wil dus niet zeggen dat je andere nummers met +3 ook al terug kunt vinden.
Importeren van de gegevens kost nog een paar uur.

edit:
wijziging/aanvulling hopelijk ter verduidelijking.

[Reactie gewijzigd door kodak op 22 juli 2024 14:28]

WhatsappHack

Facebook
Networking en security
Datalek

@kodak • 6 april 2021 12:42

Dat is gek, ik heb net zitten kijken en met een +31 nummer van een familielid zegt ie gewoon netjes dat die gepwnd is en geeft aan dat dit uit de Facebook-breach komt. Maar misschien zijn het nog niet alle nummers dan, dus wellicht later nog eens kijken. Of ik download gewoon die hele breach, vind het vaak prettiger om zelf even te zoeken dan te vertrouwen op third-party tools om een 1 of 0 te geven.

paradoXical @WhatsappHack • 6 april 2021 13:58

Heb zelf ook de torrent binnen getrokken. Tekstfile uitpakken, en even door powershell halen. Voor wie dit snel in windows wil doen:

Get-Content netherland1.txt | Select-Object -last 1000 | Select-String ("nummer") | Out-File result.txt

Tip: vergeet niet net zoals ik je torrent-programma af te sluiten, mijn ratio zat al boven de 30

GertMenkel

Networking en security

@paradoXical • 6 april 2021 14:35

Als je de data downloadt, kun je ook jezelf vinden door te zoeken op voornaam:achternaam of je emailadres.

Ik verbaas me toch iedere keer hoe lang en verbose de syntax van powershell is. Ik vind grep "nummer" Netherland* > result.txt toch een stuk leesbaarder...

Keypunchie @GertMenkel • 6 april 2021 16:09

Grep is makkelijker in het gebruik, maar zonder al te veel van Powershell te weten kan ik precies begrijpen wat dat powershell-commando doet.

Je zou voor bash toch op zijn minst nog een tail moeten toevoegen:

tail -n 1000 netherland1.txt | grep "nummer" > result.txt

(of om het helemaal netjes te doen:
cat netherland1.txt | tail -n 1000 | grep "nummer" > result.txt)

Dat is slechter leesbaar/begrijpelijk.

@GertMenkel
Dat snap ik, maar dat doet dat Powershell commando van @paradoXical toch ook? Of begrijp ik die Select-Object -last verkeerd?

[Reactie gewijzigd door Keypunchie op 22 juli 2024 14:28]

GertMenkel

Networking en security

@Keypunchie • 6 april 2021 16:21

Als je tail voor grep doet, doorzoek je alleen de laatste 1000 regels dus vind je niet snel een match. Hetzelfde lijkt me ook te gebeuren bij het bovenstaande powershell-commando, overigens, tenzij je toevallig in de laatste 1000 regels van het bestand staat.

Daarnaast verwacht ik maar 1 resultaat als je zoekt op je telefoonnummer, dus die tail lijkt me niet heel nodig? Het ligt eraan hoeveel Facebook-accounts je op je telefoonnummer hebt geregistreerd, natuurlijk.

cat | grep is trouwens trager dan grep met een bestandsnaam, dus dat is niet echt aan te raden. Nu is cat natuurlijk nog steeds heel snel, maar als je een grote dataset doorzoekt, is het beter gewoon direct de filename op te geven.

Ik vind persoonlijk dat Select-Object-statement niet heel logisch na een Get-Content, dat doet mij denken dat het groepeert op bestanden ofzo.

GNU vs PowerShell zal wellicht altijd een discussie blijven van expliciete versus impliciete informatie op de command line. Ik waardeer de object-georiënteerde basis van PowerShell maar ik vind de syntax zo irritant lang dat ik het eigenlijk nooit echt opgepakt heb voorbij de absolute basis.

mjz2cool @Keypunchie • 6 april 2021 19:00

Ik zou dan grep -R "nummer" | tail -n 1000 > result.txt doen, dan zorg je dat je niet de laatste 1000 regels van de input pakt, maar de laatste 1000 regels van de output

Keypunchie @mjz2cool • 6 april 2021 19:22

Meerdere wegen naar Rome.

Mijn kernpunt is dat ik die PowerShell goed leesbaar vind en dat voor een grep/awk commando dat ik ergens tegen kom, ik altijd wat langer moet doorkauwen wat het nou doet.

mjz2cool @Keypunchie • 7 april 2021 07:40

Dat klopt, dat zei ik in een andere comment ook, maar als je een beetje aan shell commands (meestal bash) bent gewend heb je zo'n command vrij snel door.

mjz2cool @GertMenkel • 6 april 2021 18:56

Aan de andere kant is de Powershell syntax wat leesbaarder.

kodak

Networking en security
Datalek

@WhatsappHack • 6 april 2021 12:51

Facebook gegevens waren soms al eerder via andere lekken bekend. Dit lijkt namelijk niet het enige lek met FB gegevens omdat ook andere sites er gebruik van maken. Het is dan niet vreemd dat er al iets terug te vinden was.

En Hunt geeft ook aan parallel te importeren, dus sommige +3-nummers zijn al geïmporteerd.

[Reactie gewijzigd door kodak op 22 juli 2024 14:28]

Postman @kodak • 6 april 2021 12:44

Was al blij dat mijn nummer er niet in staat, maar ga het dan over een paar dagen nog een keer proberen. Zag al wel een paar +31 nummers van vrienden er in staan, vrees dat ik en mijn directe familie dan ook wel aan de beurt zullen komen.

Blokker_1999

Datalek
Networking en security
Facebook

@kodak • 6 april 2021 12:44

De website geeft altijd netjes aan uit welk lek (of lekken) de data komen. Als ik mijn +32 nummer ingeef krijg ik netjes het FB lek te zien. Aangezien hij zijn 9 bestanden parallel inlaad kan het dus wel degelijk zijn dat je nummer er al bij staat. En als hij de nummers gesorteerd heeft van klein naar groot voor de import, en dat kan wel eens zijn om ze te kunnen splitsen in 9 bestanden, dan zijn NL (+31) en BE (+32) natuurlijk als eerste geïmporteerd.

Dutchredgaming @Njamo • 6 april 2021 12:09

Ook met 0031?

ApexAlpha @Dutchredgaming • 6 april 2021 12:29

+ is het internationale "bel naar ander land" symbool. Dat is in Nederland gelijk aan 00, maar in andere landen is dat anders. Daarom moet je een telefoonnummer altijd met + opslaan. Naar 0031 bellen vanuit Nederland werkt, maar als je dat belt in een land met een ander systeem dan werkt het niet, maar + wel omdat je telefoon het dan aanpast. Vandaar dat Facebook dat ook doet.

cavey @ApexAlpha • 7 april 2021 10:57

In de dataset staat het anders vooral als 00<land><net><nummer> opgeslagen, en niet met een +. De + is als conversie door Troy Hunt zelf gedaan.

IThom @Dutchredgaming • 6 april 2021 12:12

Nee dat werkt dus niet (voor mij in ieder geval, misschien voor mensen waar het anders opgeslagen is wel)

claudior @Njamo • 6 april 2021 12:44

Dus +316xxxxxxxxx en +3150xxxxxxxxx? Of +3106xxxxxxx en +3105xxxxxxxx?

Patrick_Wolf @claudior • 6 april 2021 12:58

+316

In het bestand staat het als

316xxxxxxxxx:1029291359:Voornaam:Achternaam:male:Plaats, Provincie, Netherlands:::7/25/2018 12:00:00 AM::

Frietsaus @claudior • 6 april 2021 12:59

+316... (eerste 0 weglaten)

[Reactie gewijzigd door Frietsaus op 22 juli 2024 14:28]

The Chosen One @Njamo • 6 april 2021 12:44

ipv? Dus +31 12345678 of +31 0612345678?
Of ook nog helemaal aan elkaar?

[Reactie gewijzigd door The Chosen One op 22 juli 2024 14:28]

ArchNemeziz @The Chosen One • 6 april 2021 12:58

+316 (dus zonder de eerste 0 van je 06-nr).

miguelin @The Chosen One • 6 april 2021 12:58

+3112345678

Serpz0r @miguelin • 6 april 2021 13:01

+31612345678
+31 vervangt de 0 van je 06 nummer

Janusch @Njamo • 6 april 2021 13:43

Ik had met zowel +31 als met 06 geen hit. Vervolgens 316 zoals Tweakers in de 13:10 update omschreef, en toen wel een hit.

Wat kunnen we hier nu aan doen?

Tweakert2020 @Janusch • 6 april 2021 14:48

Wat wil je er aan doen?
Wil je nergens in geen enkel datalek voorkomen moet je zorgen dat je niks online besteld en nergens gegevens achterlaat.

Als je echt lastig gevallen gaat worden zit er niks anders op dan een ander telefoonnummer te nemen.

Eonfge @Njamo • 6 april 2021 12:09

Leuk weet dingetje, dat is de E.164 standaard:
https://en.wikipedia.org/wiki/E.164

jqv @Njamo • 6 april 2021 12:36

Bedankt voor de tip.

Bij mij hetzelfde.
06 niets, +31 wel.

hoi1234 @Njamo • 6 april 2021 13:21

Staat er ook gewoon bij, dat je het internationale formaat moet gebruiken

Guids 6 april 2021 13:45

Wauw, ik heb al minstens 3 jaar geen facebook account meer, en alsnog zit mijn telefoonnummer in het datalek. Is facebook niet verplicht om mijn gegevens te wissen volgens GDPR wetgeving?

DiscoNootje @Guids • 6 april 2021 13:52

Zelfde hier en ik maak al 5 jaar geen gebruik van FB. Ongelofelijk

Wakoz @Guids • 6 april 2021 16:40

Hier hetzelfde, gebruik het al jaren niet. Echt te bizar voor woorden.

Madeco @Guids • 6 april 2021 16:49

11 oktober 2018 zouden ze alles van mij deleten. Kan toch bijna niet dat die gegevens vd hack al zo oud zijn

FFW 6 april 2021 12:28

Perfecte zoekfunctie, gelijk van de gelegenheid gebruik gemaakt om het facebook account te verwijderen.

Ray_ @FFW • 6 april 2021 12:40

Je snapt dat dit geen invloed heeft op de gelekte dataset he? Desondanks is het verwijderen van je FB-profiel wellicht een goed idee voor toekomstige lekken

Daniel Jackson 6 april 2021 12:28

Mijn nummer zit er ook tussen. In combinatie met een ander recent incident waarbij mijn bankrekeningnummer lekte begint het risico toch wel te stijgen. Zelf ben ik niet vatbaar voor mailtjes of telefoontjes van oplichters, dat meen ik echt wel te herkennen. Maar met een steeds verder groeiende set gelekte gegevens kunnen oplichters zelf wel aan de slag met social engineering bij helpdesks Op steeds meer controlevragen hebben ze dan een antwoord paraat.

blazez @Daniel Jackson • 6 april 2021 13:39

Misschien is het (dan) ook een beter idee om op controlevragen een totaal onzinnig antwoord te registeren (zolang je wel je eigen administratie qua wachtwoorden etc goed op orde hebt).
Controlevraag " wat was je eerste huisdier", antwoord "biefstuk, medium gebakken" of "boterham met pindakaas".
uit ervaring kan ik zeggen dat een servicedeskmedewerker er wel om kan lachen.

En ja, ik snap dat het idee van de controlevraag zo een beetje om zeep geholpen wordt, maar met dit soort vrijgekomen gegevens is een controlevraag in de basis niet veilig meer.

darkjeric

@blazez • 6 april 2021 14:01

Nee hoor, onzin antwoorden bij controlevragen is wat mij betreft de enige zinnige manier om die als veiligheid te gebruiken. Bijna alle echte antwoorden op controlevragen zijn gemakkelijk te vinden via social media.

Ik ben al veel rijst, spaghetti of hamburgers gaan eten in m'n geboortestad bv.

Door onzin te antwoorden maak je er eigenlijk 2-3 extra wachtwoorden bij, die dan ook nog eens op de juiste vraag geantwoord moeten worden. Dat maakt het nagenoeg onkraakbaar (afhankelijk van waarvoor de controlevragen gebruikt worden natuurlijk) en is voor iemand die een wachtwoordmanager gebruikt (sterk aan te raden!) geen enkel probleem om bij te houden.

Wachten... @blazez • 6 april 2021 14:24

Volgens mij bedoelt @Daniel Jackson meer dat als je naar bijvoorveeld Ziggo belt en ze willen verifiëren dat jij het bent, dan doen ze dat vaak met geboortedatum en adres.

Ik zeg dit niet specifiek tegen jou, maar volgens mij hebben veel mensen (en soms ook hier op tweakers) niet echt door hoeveel je zou kunnen doen met de data die nu gelekt is. Je verifieert werkelijk alles met deze data vandaag de dag.

Ook ik ben er pas sinds een jaar wat meer bewust van. Sindsdien geef ik zelden mijn volledige naam, heb ik een email adres waar mijn voor en achternaam niet in staat, en gebruik aparte telefoon voor verificatie.

Nyarlathotep @Daniel Jackson • 6 april 2021 13:42

Zeker met het lekken van je telefoonnummer kunnen ze jouw nummer 'spoofen' en mensen uit jouw contactenlijst lastig gaan vallen. Met mogelijk alle gevolgen van dien.
Dit is iets wat ik zelf ook nog wel eens vergeet. Ik heb een FB account (maar nóóit mijn telefoonnummer opgegeven). En ik gebruik Google. Er ligt van mij dus best wel veel profielinformatie 'op straat'. Ik maak mij er niet zo druk over (ik deel ook echt niet álles). Maar zeker op FB staat in mijn profiel ook een hoop informatie (en foto's!) van anderen. Die kunnen hier last van krijgen.
Omgekeerd geldt natuurlijk hetzelfde: Wat houden bekenden (en minder bekenden) allemaal bij over mij? En wat als dat 'lekt'?

Ik overweeg wel eens om mijn digitale voetafdruk zo klein mogelijk te maken. Geen FB, geen Google, geen Whatsapp etc. Maar man... Het wordt zo wel moeilijk. Van wat ik lees (mensen die dit dus doen) is het aanpoten geblazen en moet je een hoop veranderen. En een hoop dingen laten.
Keuzes keuzes...

VittunWasted 6 april 2021 12:05

Heel handig wanneer je Facebook nooit je telefoonnummer hebt gegeven...

Jive @VittunWasted • 6 april 2021 12:22

Dat heb je ook helemaal niet zelf hoeven doen ...
Facebook heeft dat prima zelf kunnen doen door bij andere mensen het telefoonboekje leeg te halen.

Atmosfeer @Jive • 6 april 2021 12:46

Hm, ik sta er niet tussen. Vind ik toch apart dan. al 10 jaar een account, en veel mensen hebben mijn nummer. Blijkbaar delen toch niet zoveel mensen hun contactenboek met Facebook. (gelukkig!)

Jazco2nd @Atmosfeer • 6 april 2021 14:18

Huh, dat jouw nr niet bij deze lek zat wil natuurlijk niet zeggen dat jouw nummer niet via jouw of andermans account (idd contactenboek) gedeeld is met Facebook.

SinergyX @VittunWasted • 6 april 2021 12:23

Je weet dat jouw nummer gewoon via 'derden' bij hun komt? Mijn tweede nummer staat in de lijst, maar deze heeft nooit iets gekoppeld gehad met facebook, behalve contactenlijsten van anderen, facebook vraagt toegang tot contactenlijst, ziet gekoppelde namen/nummers, et voila.

erik530 @SinergyX • 6 april 2021 12:42

Pf dit zou het dus kunnen zijn. Mijn nummer staat erin, maar ik kon me niet herinneren dat ik het ooit aan Facebook gegeven heb. Ook als ik nu in de instellingen zoek kan ik het nergens terugvinden.

Hoewel het dit probleem niet zal oplossen is dit wel weer een extra incentive om Facebook zo snel mogelijk te verwijderen.

telenut @SinergyX • 6 april 2021 12:44

Je krijgt +2 maar dit klopt totaal niet. Enkel de mensen die hun nr hebben gekoppeld en zoeken op nr toestonden kunnen zo gevonden worden (die optie werd wel gepusched met de mobiele client).
Als een ander nummer er in zit van u is het mogelijks omdat dit vroeger van iemand anders was? Staat uw naam ook naast dat nr?

SinergyX @telenut • 6 april 2021 12:52

Waar krijg jij een naam te zien bij een nummer? haveibeenpwn laat alleen zien dat je in de set zit.

Ik heb dit nummer al 22 jaar, ik heb maar 1 facebook account en die kan nooit via die sim zijn ingelogd (telefoonnummer zit namelijk in een toestel dat niet eens op internet kan).

Andere tool:
Facebook leak checker
Oh jee, je naam zit er in (1 keer) 😱 De gevonden telefoonnummer(s) eindigen op... XXX

Kan weinig anders concluderen.

[Reactie gewijzigd door SinergyX op 22 juli 2024 14:28]

telenut @SinergyX • 6 april 2021 12:54

Ik heb de hele lijst... zoek daar dus gewoon in eh :-)

n00bs 6 april 2021 12:05

Ben blij dat ik nooit mn telnr op FB geplempt heb. Zie ook van mij en wat vrienden gelukkig geen vermelding op Have I Been Pwned.
Fout, je moet dus +31 ervoor zetten, vind nu van familie en vrienden helaas wel lekken.

[Reactie gewijzigd door n00bs op 22 juli 2024 14:28]

blazez @n00bs • 6 april 2021 13:42

Je hoeft waarschijnlijk ook niet zelf je gegevens er op gezet te hebben. Die informatie hebben ze wel weer uit de gegevens van de mensen en de apps er omheen kunnen halen (fb messenger, whatsapp etcetera). Koppel alle aan elkaar en voila

n00bs @blazez • 6 april 2021 17:05

Ja, ik snap hoe data mining werkt, echter heb ik net als velen wel Whatsapp (van FB helaas) en zijn er genoeg die ik in FB, WA en Messenger simultaan heb, waarvan bij sommigen wel hun data op straat ligt. Bij mij en een hoop anderen is dat dus niet. De datalek heeft dus niets te maken met een mining of lek op 1 of andere ETL laag. Dit is puur een lek van FB zelf.

computerjunky @n00bs • 6 april 2021 12:16

Dat heb ik ook nooit gedaan toch wist facebook mijn telefoonnummer een aantal jaar geleden en vroegen ze om verificatie. natuurlijk gezegd dat dat niet mijn nummer is maar je telefoon nummer niet op faceboek zetten is niet genoeg.

dbz1985 6 april 2021 12:05

Maar goed dat ik nooit telefoonnr erin heb gezet en was ik al nooit van plan.
Maarja tegenwoordig word het steeds onveiliger op internet.

Jive @dbz1985 • 6 april 2021 12:22

Dat heb je ook helemaal niet zelf hoeven doen ...
Facebook heeft dat prima zelf kunnen doen door bij andere mensen het telefoonboekje leeg te halen .

Franckey @Jive • 6 april 2021 16:29

Precies. Ze schijnen ook een populaire chat app te hebben die telefoonnummers verzamelt...

IThom @dbz1985 • 6 april 2021 12:10

Ik heb mijn telefoonnummer ook nooit ingevuld bij Facebook, toch is er een hit op mijn telefoonnummer.
Vreemd genoeg geen hit als ik op mijn naam of emailadres zoek.
Ik ben wel benieuwd of er ergens een tool is om te vinden welke andere entries in de database staan gekoppeld aan mijn telefoonnummer.

Tweakert2020 @IThom • 6 april 2021 15:03

En geeft de hit ook facebook aan als breach?

Geen idee hoe de breach in elkaar zit, maar ik kan me best voorstellen dat één van je facebook vrienden messenger gebruikt en daar dus een koppeling is ontstaan.

[Reactie gewijzigd door Tweakert2020 op 22 juli 2024 14:28]

IThom @Tweakert2020 • 6 april 2021 15:04

Tweakert2020 @IThom • 6 april 2021 15:05

had een edit gedaan:

Geen idee hoe de breach in elkaar zit, maar ik kan me best voorstellen dat één van je facebook vrienden messenger gebruikt en daar dus een koppeling is ontstaan.

IThom @Tweakert2020 • 6 april 2021 15:10

Dat zou kunnen inderdaad.
Daarom zou ik het wel fijn vinden als er een tool was om te zien welke andere value's er gekoppeld stonden aan mijn telefoonnummer in de dataset.
Dus bijvoorbeeld:
Ik vul mijn telefoonnummer in en als resultaat krijg je "Gekoppeld aan dit telefoonnummer is gevonden een geboortedatum, woonplaats, bio en een emailadres.

Tweakert2020 @IThom • 6 april 2021 15:13

Dan heb je weer een complete dataset die door weer eenvoudig uit te buiten zal zijn.

Wellicht dat je de dataset kan downloaden en doorzoeken.

StefvE @Tweakert2020 • 7 april 2021 23:36

Deze dataset is heel makkelijk zelf in te zien en te checken welke data precies buit is gemaakt. Zou het niet willen aanbevelen je er te veel mee bezig te houden, ook gezien het illegaal is zo'n dataset in bezit te hebben. Overigens zet HaveIBeenPwnd dat vaak wel bij e-mail entries.

Bij de Facebook lek gaat het om het volgende:
Telefoonnummer, Facebook ID, voornaam, achternaam, geboortestad, huidige stad, werk
In sommige entries is ook een e-mail te vinden maar heb het idee dat die niet in de Nederlandse set te vinden is.

cavey @IThom • 7 april 2021 11:03

Het kan zijn dat iemand een typo heeft gemaakt bij invoeren van zijn/haar telefoonnummer. De nummers staan ook allemaal op volgorde gesorteerd, soms zitten er wat gaps in.

dbz1985 @IThom • 6 april 2021 12:18

Bij mij alleen mijn mailadres wel en telefoonnr niet.

badboyqxy @dbz1985 • 6 april 2021 12:11

Helaas is dat niet genoeg, als iemand zijn mobiele contacten deelde met Facebook/messenger kan het als nog gekoppeld zijn.

dbz1985 @badboyqxy • 6 april 2021 12:20

Gelukkig heb ik dat nooit gedaan...heb er ook bewust voor gekozen om de app niet te installeren op mijn telefoon en gewoon de browser te gebruiken.

SmokingSig 6 april 2021 12:01

Het is goed dat zo een website bestaat maar hoe weet je zeker dat ze jouw input niet bijhouden... ?

SMGGM @SmokingSig • 6 april 2021 12:18

Zekerheid heb je niet.
Voor de wachtwoord lekken kan je wel de volledige databank (hash waardes natuurlijk) lokaal downloaden (https://haveibeenpwned.com/Passwords). De maker vraagt wel gebruik te maken van de torrent links om hun host niet te zwaar te belasten.

Met Keypass kan je vervolgens een volledig controle doen van al je wachtwoorden en aftoetsen met het bestand dat je kan downloaden.
https://github.com/mihaifm/HIBPOfflineCheck

Een paar maand geleden gedaan en geen enkele was gelekt.

Ook nog zopas al de email adressen van mijn domein nagekeken (kan via https://haveibeenpwned.com/DomainSearch maar dien je wel te verifiëren dat je een admin bent) en dan krijg je simpelweg een export met alle email adressen en waar ze in vermeld staan.
Op die manier geef je op zich ook geen volledig email adres mee op.

Een individueel email adres waar je geen eigenaar bent van het domein zelf zal je moeten vertrouwen op de beheerder van de site zelf.

[Reactie gewijzigd door SMGGM op 22 juli 2024 14:28]

SmokingSig @SMGGM • 6 april 2021 14:49

thx!

qless @SmokingSig • 6 april 2021 12:02

Niet, alhoewel de eigenaar van de site een behoorlijk goede reputatie heeft.

GoldenLeafBird @SmokingSig • 6 april 2021 12:04

Hoe zeker kan je zijn als je een externe dienst gebruikt is altijd een vraagstuk.

De privacypagina van HIBP is redelijk uitgebreid en gaat ook in op de vragen "hoe werkt het" en "wat houden wij bij"?

dutchgio @SmokingSig • 6 april 2021 12:11

Have I Been Pwned wordt gerund door Troy Hunt, een bekende beveiligingsonderzoeker. Die zal er niet direct mee aan de haal gaan.

this @SmokingSig • 6 april 2021 12:12

Maar wat zijn ze er mee? Ze weten nog steeds je naam niet, tenzij ze die uit tracking cookies van FB ofzo kunnen halen?
Een random nummer ben je toch weinig mee? En je kan evengoed op goed geluk een nummer intikken, komt toch op hetzelfde neer?

addictive @this • 6 april 2021 17:54

Omdat ze nu weten dat je een account bij Facebook hebt, en dan is het al makkelijker om gericht een helpdesk scam op te zetten.

Zie bijvoorbeeld: https://www.npo3.nl/bait/14-01-2021/POW_04931920

this @SmokingSig • 6 april 2021 12:19

Maar dan kunnen ze ook gewoon lukraak een telefoonnummer ingeven, met het aantal nummers dat in gebruik is, lijkt mij de kans dat je een bestaand nummer vast te pakken hebt toch niet zo klein.

WhatsappHack

Facebook
Networking en security
Datalek

@SmokingSig • 6 april 2021 12:39

Ze hébben de telefoonnummer al uit de breach, wat is 't praktisch nut dan van nog meer input verzamelen? De database aanvullen met nog meer nietszeggende nummers? Dan kunnen ze ook simpelweg alle mogelijke nummercombinaties genereren en lukraak berichten/robocalls plaatsen.

Overigens is de auteur/beheerder van deze site een bekend figuur in "the scene" en tot dusver altijd betrouwbaar gebleken. Altijd op blijven passen uiteraard waar je je gevens invoert uiteraard en goed dat je vragen stelt, maar HaveIBeenPwned is tot nu toe altijd netjes betrouwbaar gebleken. Ik denk dan ook dat je wat lager beoordeeld wordt, omdat de site hier al heel heel heel erg vaak besproken is en meerdere malen in het nieuws is geweest; en simpelweg een goede reputatie geniet.

Even Google'en had je het ook kunnen zien.

Lisadr 6 april 2021 12:02

Gaat de EU eindelijk dit hard aanpakken en Facebook een boete geven van 2,4 miljard euro (4% van hun 2020 omzet) ?

Anoniem: 310408 @Lisadr • 6 april 2021 12:09

Je hebt begrepen dat het grootste deel van deze data publiekelijk gedeelt werd door gebruikers? De basis was een lek in 2019.

stijn014 @Anoniem: 310408 • 6 april 2021 12:24

Ik zit er ook tussen en mijn telefoonnummer werd niet gedeeld met gebruikers. En wat nog "het was een lek van 2019"? Voor zover ik weet heeft facebook mij hier nooit van verwittigd.

StefvE @Anoniem: 310408 • 7 april 2021 23:46

De data is inderdaad uit 2019 en door een scrape gedaan doormiddel van de Facebook API, de telefoonnummers zijn hier door een Facebook lek ook gedeeld. Dat lek is tevens ook al gedicht.

Bron: https://techcrunch.com/2019/09/04/facebook-phone-numbers-exposed/
https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

ArcticFox @Anoniem: 310408 • 6 april 2021 12:22

Mijn telefoonnummer is nooit publiekelijk gedeelt op facebook maar toch gelekt

Shadow771 @ArcticFox • 6 april 2021 12:25

Maar het stond wel op facebook? Dat is dus gelekt.

ArcticFox @Shadow771 • 6 april 2021 13:02

Ja dat wel. Maar als 2FA dus alleen zichtbaar voor mij. maarja nu niet meer...

The Zep Man

Datalek
Networking en security
Facebook

@Anoniem: 310408 • 6 april 2021 12:14

Je hebt begrepen dat het grootste deel van deze data publiekelijk gedeelt werd door gebruikers? De basis was een lek in 2019.

Maakt dat Facebook plots minder verantwoordelijk voor het (laten) lekken van persoonsgegevens?

Blokker_1999

Datalek
Networking en security
Facebook

@Anoniem: 310408 • 6 april 2021 12:21

De data werd publiek gedeeld omdat de meeste mensen niet wisten dat dit standaard aan staat.

Lisadr @Anoniem: 310408 • 6 april 2021 12:27

Facebook blijft verantwoordelijk en in 2019 was GDPR ook van kracht.

Sorcerer8472 @Anoniem: 310408 • 6 april 2021 12:31

Mijn gegevens zitten er ook bij en ik had die zeker weten niet publiekelijk gedeeld. Mijn nummer stond erin voor recovery/2FA redenen. En nu ligt het op straat in een grote datadump, wellicht nog met een lading andere zaken.

Ik zie graag deze boete gedumpt worden op ze. Kan gelijk de EU schatkist in en compenseert een beetje voor de grote hoeveelheden belastingontwijking.

Laguna @Sorcerer8472 • 6 april 2021 23:31

Dat dacht ik ook totdat ik dit bericht uit 2017 las:

https://medium.com/intigr...ugh-facebook-223b769cccf1

When the “who can look me up by phone” setting is set to public, your phone number is public. This setting is set to public by default.
Even though your phone number on your profile is set to ‘only me’, the ‘who can look me up’-setting overrules this. While people think their phone number is private, it’s not.

Dit valt mijns ziens onder nalatigheid van Facebook. Zo'n instelling had nooit standaard op "openbaar" mogen staan en bovendien was de "alleen ik" instelling bij telefoonnummer misleidend.

[Reactie gewijzigd door Laguna op 22 juli 2024 14:28]

kiddingguy @Lisadr • 6 april 2021 12:07

Ik mag het hopen. En als voorbeeld dienen kan soms ook niet verkeerd zijn.
500.000.000 is wel heel veel... en om het als Facebook maar af te doen "Tsja, was bekend, en inmiddels gefixt" kan m.i. gewoon niet.

Jazco2nd @Lisadr • 6 april 2021 14:16

Dat kan niet als die data reeds publiek beschikbaar werd gemaakt door de gebruiker (de facebook user).. dan is er geen lek, de data is immers via publiek domein reeds beschikbaar.

Op dit item kan niet meer gereageerd worden.

Facebook-gebruikers kunnen op Have I Been Pwned zien of telefoonnummer is gelekt

Lees meer

Je Facebook-gegevens staan online

Interview: Troy Hunt - Have I Been Pwned

Reacties (161)

Sorteer op:

Weergave: