Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat.

Een Facebook-woordvoerder zegt tegen Reuters dat het platform er 'niet van overtuigd is dat het volledige zichtbaarheid heeft' over welke gebruikers wel of niet ingelicht zouden moeten worden. Daarnaast kunnen gebruikers volgens het platform het probleem toch niet oplossen en zijn de gegevens publiekelijk beschikbaar. Daarom zou het bedrijf gebruikers nog niet hebben ingelicht en dit in de toekomst ook niet willen doen.

De data is jaren geleden van Facebook gescrapet, maar werd vorige week online gezet op een hackersforum. Het gaat om gegevens van bijna 533 miljoen Facebookgebruikers en bevat voornamelijk telefoonnummers. Facebook-id's, volledige namen, locaties, geboortedata, geslacht, e-mailadressen en andere gegevens staan ook in de dataset. Naar schatting zitten er 5,4 miljoen Nederlandse en 3,2 miljoen Belgische gebruikers in het datalek. Facebook dichtte augustus 2019 het lek waarmee de gegevens werden opgevraagd.

Toezichthouders zijn inmiddels begonnen met onderzoeken naar het lek. Zo vraagt de Belgische Gegevensbeschermingsautoriteit of Belgische Facebookgebruikers een klacht willen indienen bij de autoriteit als hun gegevens in de database staan. De Ierse Data Protection Commission zei dinsdag dat Facebook zelf nog geen contact met de toezichthouder had opgenomen en dat de DPC dit inmiddels zelf heeft gedaan. Gebruikers kunnen via tools als Have I Been Pwned zien of zij in de dataset staan.

Reacties (232)

232

225

122

Wijzig sortering

robvanwijk

Facebook
Privacy

8 april 2021 10:41

Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat.

Dus het argument van FB is dat zijzelf uit de beschikbare informatie niet af kunnen leiden wie er getroffen is... maar gebruikers kunnen dat zelf wel?

Als ik ooit een zero-day voor het hacken van heel FB tegenkom dan hoef ik die niet te melden bij FB, want ja, de informatie staat toch openbaar online!?

Volgens mij zijn er twee mogelijkheden: ofwel iedereen bij FB legal is volslagen incompetent en weet echt helemaal niet waar ze mee bezig zijn, ofwel ze weten precies waar ze mee bezig zijn en denken dat ze niets hoeven te doen omdat ze er toch wel weer mee weg komen. Dit hele fiasco klinkt mij in de oren als "we hebben schijt aan elke wet; we luisteren pas als we miljardenboetes opgelegd krijgen"...

uncle_sjohie @robvanwijk • 9 april 2021 11:00

Wat dat laatste betreft, alle inkomsten buiten de VS van Facebook, gaan via een Ierse BV, en al dat geld, bevind zich dus binnen de GDPR jurisdictie. En die kent een boete van max 4% van de omzet (dus niet winst) per geval. En met een omzet >80 miljard dollar, waarvan een groot deel dus in Ierland rondklotst, kon dat nog wel eens pijn gaan doen.

FrozenPK @uncle_sjohie • 9 april 2021 16:55

Aan de andere kant zou max ~4 miljard dollar boete het waard zijn als dat de toekomst en de huidige groei van het platform zou kunnen veiligstellen; een half miljard gebruikers die weinig / geen verstand hebben van de beveiliging van hun eigen gegevens een mail sturen met alle info die er gelekt is gaat zeer waarschijnlijk tot een grote krimp lijden van zowel het vertrouwen van die gebruikers (en hun directe omgeving) als de groei van het aantal nieuwe gebruikers (waarom je gegevens invullen bij het aanmeldformulier als er de kans is dat ze op straat komen te liggen)

robvanwijk

Facebook
Privacy

@FrozenPK • 10 april 2021 23:00

Aan de andere kant zou max ~4 miljard dollar boete het waard zijn als dat de toekomst en de huidige groei van het platform zou kunnen veiligstellen

Van de ene kant, hoe absurd "ach joh, betalen we gewoon even 4 miljard boete en dan zijn we van het gezeur af" ook klinkt... ja, daar heb je best een punt. Gelukkig zijn er twee dingen die in het voordeel van gebruikers werken:

Met eenmalig die boete betalen zijn ze niet opeens van het probleem af; dat kun je herhalen elke keer dat ze data lekken. Eenmalig 4 miljard lappen hebben ze er misschien nog wel voor over, elke paar jaar 4 miljard op moeten hoesten (of nog meer, als hun omzet verder groeit) is een ander verhaal.
Een rechtszaak is een prima kans voor journalisten om hier aandacht aan te besteden. Ik zie er de ironie wel van in: FB denkt imagoschade te kunnen voorkomen door dit onder een, heel duur, tapijt te vegen, maar in plaats daarvan wordt het nog veel groter nieuws. En denk eraan, rechtszaken duren jaren! Dus mensen horen niet eenmaal wat FB fout heeft gedaan; elke paar maanden, als er weer wat ontwikkelingen zijn in de rechtszaal, wordt het weer opgerakeld en krijgt iedereen een herinnering. Hulde voor de journalist die zijn artikel afsluit met iets in de trant van "we hebben geprobeerd te vragen of ze hun zaakjes inmiddels beter voor elkaar hebben en zich nu wel aan de wet houden, maar FB was niet bereikbaar voor commentaar".

waarom je gegevens invullen bij het aanmeldformulier als er de kans is dat ze op straat komen te liggen

Mijn excuses voor het beantwoorden van je rhetorische vraag... met een antwoord waar je niet blij van wordt nog wel, maar: omdat veel mensen vinden dat die gegevens niet geheim zijn en best openbaar mogen. Afhankelijk van welke gegevens we het precies over hebben kan ik persoonlijk het daar zelfs nog wel mee eens zijn; mijn naam is wat mij betreft niet geheim (en ik ben niet de enige; zelfs op T.net zijn er een boel mensen die hun naam als gebruikersnaam gebruiken, plus nog veel meer mensen die hun naam op hun profiel invullen).

[Reactie gewijzigd door robvanwijk op 22 juli 2024 16:23]

uncle_sjohie @FrozenPK • 12 april 2021 09:41

4% per geval lijkt me iets wat zoden gaat zetten, en dan stoppen we bij 25 gevallen, want we zijn ook geen monsters. Mogen ze een jaaromzet even aftikken, eens kijken wat ze dán wel of niet voor elkaar kunnen krijgen. Ze, dus alle grote "techco's" draaien dmv lobbyen en regeringen tegen elkaar uitspelen tot nu toe overal hun kont uit met een paar, voor hun zakgeld, boetes. Genoeg is wat mij betreft genoeg.

Weet je wat, dan doen we het netjes, en houden we de max 2% aan, want er is volgens mij een staffel/formule voor hoeveel boete er staat op wat voor soort GDPR overtreding, dit is volgens mij geen "4%" fout,

Verwijderd @robvanwijk • 8 april 2021 16:56

Het is overduidelijk het tweede. Facebook gebruikers zullen niet veel kennis hebben over privacy, hacking of gegevens beveiliging dus ze hier alert op maken is groot in het nadeel van Facebook.

Ik denk dat het puur een financiële afweging is geweest. Wanneer je gebruikers er op gaat wijzen dat je slecht met hun gegevens omgaat dan gaan ze mogelijk nadenken en verlaten het platform. Gezien gebruikers de inkomstenbron zijn is dat je slechtste keuze op de lange termijn. Dan dus liever rechtszaken (achter gesloten deuren). Hun advocaten team zal ook echt wel alle mogelijke scenario's hebben uitgewerkt en blijkbaar loont het (zoals vele criminaliteit). Gezien het een oude hack is kunnen ze het misschien gooien op andere regelgeving of het punt dat je niet 2x veroordeelt mag worden voor het zelfde vergrijp (USA).

Wachten... 8 april 2021 09:48

Ik kan Facebook wel even vermelden det heel mijn familie totaal geen idee had of hun gegevens gelekt waren en hoe ze dit konden controleren.

Voor ons Tweakers lijkt het normaal dat iedereen hier vanaf weet omdat dit soort berichten ons direct triggert. Mijn ouders en een zooitje vrienden van mij zien Facebook als een groot en verantwoordelijk bedrijf (zij hebben helaas nog steeds vertrouwen in Facebook)
Ik heb letterlijk mijn vader aan de telefoon gehad gisteren en bijna ruzie gehad omdat hij de ernst er niet van in ziet. Dit komt mede omdat z'n arrogant bedrijf er zo gigantisch laks mee omgaat.

Het is zo jammer dat mensen nog steeds niet inzien en snappen wat voor een bedrijf Facebook is. De enige reden dat ze dit niet willen delen, is omdat mensen zoals mijn ouders en vrienden hier weet van krijgen (iets met slapende honden)

Leg gewoon netjes in een mail uit dat de lek al gebeurt is, en dat je extra voorzichtig moet zijn met spam en rare berichten. Geef dit soort mensen nou eindelijk eens aan (als groot bedrijf) dat je 'klanten' zorgvuldig om moeten gaan met welke gegevens ze delen, maar ja dat gaat Facebook niet doen natuurlijk. Ik zou het ongelofelijk bijzonder vinden als Facebook hier WEER mee weg komt. Net zoals alle andere schandalen.

[Reactie gewijzigd door Wachten... op 22 juli 2024 16:23]

Vuggie @Wachten... • 8 april 2021 13:35

Geef dit soort mensen nou eindelijk eens aan (als groot bedrijf) dat je klanten zorgvuldig om moeten gaan met welke gegevens ze delen, maar ja dat gaat Facebook niet doen natuurlijk.

Stating the obvious, maar de gebruikers van Facebook zijn niet de klanten van Facebook. Waarom zou je de schapen informeren dat ze naar de slachtbank gaan?

Wachten... @Vuggie • 8 april 2021 15:14

Sarcasme is soms lastig over te brengen met typen

Maar helemaal mee eens hoor, dat is precies het pijnpunt wat ik probeer aan te halen hier.

[Reactie gewijzigd door Wachten... op 22 juli 2024 16:23]

Vuggie @Wachten... • 8 april 2021 16:53

iAR @Wachten... • 8 april 2021 10:05

Dit komt mede omdat z'n arrogant bedrijf er zo gigantisch laks mee omgaat

Wat mij betreft is dit niet de hoofdreden. We gaan in mijn optiek allemaal voorbij aan waarom het mogelijk is dat er van alles gratis wordt aangeboden. Het lijkt niet bij iedereen door te dringen hoe er voor die diensten betaald wordt. Mensen denken onschuldig te posten op dergelijke sites. Maar weten niet dat de (rest)data uit die posts gebruikt wordt om conclusies te trekken over je identiteit.
En zolang er eigenlijk niemand last heeft van deze lekken, gaat niemand zich dat ooit afvragen.

Soms vraag ik me wel af wat er nodig is om mensen dit te laten inzien.

Theone098 8 april 2021 09:37

Als je niet eens weet welke gebruikers getroffen zijn door het lek, zegt dat voldoende over de staat van de information security. Of ze hebben het niet (laten) uitzoeken.

roelst1 @Theone098 • 8 april 2021 23:07

Er valt weinig uit te zoeken. Ze kunnen zelf de lijsten van het forum downloaden en iedereen een mailtje sturen.

[eNeRGy] 8 april 2021 09:40

Als je niet weet welke gebruikers getroffen zijn, dan is de oplossing gemakkelijk: je informeert alle gebruikers.

Cranx @[eNeRGy] • 8 april 2021 12:27

Je weet toch welke gebruikers getroffen zijn a.d.v. de gelekte lijst... of ben ik nou dom?

[Reactie gewijzigd door Cranx op 22 juli 2024 16:23]

WirelessPoE @Cranx • 8 april 2021 16:03

Inderdaat, de dataset is zo geordend dat ze makkelijk iedereen langskunnen, ik heb het zelf doorgekeken of ik erin sta (jammer genoeg wel) de database is ieder land los en dan opgedeelt in text files van 512mb (Nederland is opgedeelt in 2 files) volgorde van de informatie:

telefoon nummer:FacebookID:Naam:Achternaam daarna verschilt het per persoon, meeste staat geslacht dan waar ze werken en of ze een relatie hebben ect. ligt er gewoon aan hoeveel je info je fb hebt gegeven.

Bij de meeste entries zie ik alleen de naam, facebook-ID en telefoon nummer. Lijkt mij dat het alleen gaat om de mensen die telefoon nummers hebben toegevoegd aan facebook.

Patrick_Wolf @Cranx • 8 april 2021 16:23

Ja, daarom is deze zin ook zo vreemd:

Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat.

Informatie is openbaar, maar wij weten niet wie we moeten informeren

Kiswum @[eNeRGy] • 8 april 2021 10:12

Dat lijkt mij ook de meest logische oplossing en eenvoudig gedaan.

gooos @[eNeRGy] • 8 april 2021 10:29

Inderdaad, ook mijn gedachte. En dan wel met minimaal een linkje naar Have I Been Powned (incl uitleg) zodat men zelf kan kijken of ze in de database voorkomen.

grrfield @[eNeRGy] • 8 april 2021 14:53

Het zijn trouwens niet de gegevens van de 'gebruikers' die gelekt zijn, maar van de 'producten' die Facebook aanbiedt.

Verwijderd @[eNeRGy] • 8 april 2021 16:05

Kwalijker is wellicht: als je data zo een zooitje is: hoe weet je dan of je data over Europese gebruikers aan de Europese wetgeving voldoet?

Daco @[eNeRGy] • 8 april 2021 19:59

Probleem : er zitten gebruikers tussen die, op het moment van het lek, hun facebook gedelete hadden. er is ook inactieve user data tussen. die kunnen ze niet contacteren ...

echt een kak boeltje dit. fucking facebook...

leto001 8 april 2021 10:53

Het is meer schering dan inslag tegenwoordig. Bij Linkedin zijn ook even 500 miljoen accounts gelekt:
https://www.techrepublic....rs-found-for-sale-online/

Ik heb overigens nooit communicatie van Facebook mogen ontvangen dat mijn accountgegevens gelekt zijn (en dat zijn ze wel) en volgens mij zijn ze daarmee gewoon in overtreding.

@AP lezen we mee?

Soneraxx @leto001 • 8 april 2021 11:14

Ik vind hier weinig over terug als ik hier op zoek op het internet.

Het enige wat ik lees is dat je gewoon gemakkelijk alle profieldata kunt schrapen van LinkedIn.

Is het dat wat ze bedoelen?

Anywho: ik word hier tegenwoordig echt krankjorum van. Ik ben de afgelopen week al meerdere uren bezig geweest met het verwijderen van allerlei accounts. Om dan nog maar te zwijgen van de moeite dat me dit kost (mailcorrespondentie met de bevoegde dienst).

leto001 @Soneraxx • 8 april 2021 11:24

Volgens de voorwaarden van Linked.in mag data niet gescaped worden (duh!). Ik zou ook verwachten dat men dan alles in het werk stelt om dat te voorkomen.

https://www.linkedin.com/...on%20LinkedIn's%20website.

Overigens wordt de legitimiteit van de set wel her en der in twijfel getrokken. Kennelijk is er wel een set met 2 miljoen profielen vrijgegeven als bewijs, maar of alle data actueel is is onbekend.

Boermansjo @leto001 • 8 april 2021 13:29

Is dit niet hetzelfde als die (voor mij vrij nutteloze) disclaimers op het einde van een mail ?
(bv : Disclaimer: De inhoud van dit bericht en eventuele bijlagen is strikt vertrouwelijk en enkel bestemd voor gebruik
door de geadresseerde. Indien dit bericht niet voor u bestemd is, dient u dit aan de afzender te melden en dit
bericht en eventuele bijlage te verwijderen.)

Het staat er wel dat je het niet mag doen... Ik vraag me af hoeveel mensen zo eerlijk zijn om dit te melden.
Hopelijk gaat de US nu de nodige vragen stellen aan Facebook. Nu ze geen data meer mogen doorgeven aan Cambridge, dan maar doen via een "data-lek" en niks zeggen...

GertMenkel

Networking en security

@leto001 • 8 april 2021 13:57

De voorwaarden van een website zijn niet heel relevant aangezien de Amerikaanse rechter heeft besloten dat een populaire LinkedIn-scraper niet zomaar geblokkeerd mocht worden door Microsoft. Wellicht zijn de voorwaarden nog van kracht in Nederland, maar dan zet je je scraper gewoon op een Amerikaanse server neer.

Het tegengaan van het overnemen van publieke informatie snap ik sowieso niet. Je zet die informatie openbaar of niet. Als die informatie openbaar beschikbaar was (al is het maar door middel van de API en niet de website) zie ik niet waarom websites die informatie niet mogen opslaan.

Wat weer niet mag is de informatie publiekelijk maken / herpubliceren, aaangezien dit soort toko's geen licentie hebben om de informatie te distribueren. Een database voor eigen gebruik lijkt me echter meer dan redelijk, en dat kan heel nuttig zijn voor een recruiterbureau.

Wil je niet dat het hele internet bij je LinkedIn kan, kun je daarvoor de privacy-instellingen van LinkedIn gebruiken om de toegang te beperken. Als er dan nog eens informatie lekt, is dat het probleem van LinkedIn, niet van de scraper die gewoon de website uitleest. Op dezelfde manier is Facebook bij dit lek de schuldige vanwege het uitgeven van informatie. Alle info die "gelekt" is, was gewoon voor iedereen toegankelijk.

Sito @leto001 • 8 april 2021 11:36

Gaat het hier om data die iedereen kan scrapen, of om afgeschermde data waar niemand bij kan? Ik kan hier niet zoveel over vinden in dat artikel.

Als het eerste het geval is lijkt het me geen issue: de gegevens zijn publiek en iedereen kan die gegevens zien. Als het gaat om mijn afgeschermde gegevens die niemand behalve ik in kan zien is er sprake van een lek.

twiFight @Sito • 8 april 2021 12:55

Dat blijft ambigu en het is dan ook gewoon een slecht artikel. In het minst erge geval onduidelijk en in het ergste geval misleidend. Scrapen is absoluut wat anders dan lekken. Gescrapete data is data waar je zelf voor kiest het openbaar te maken. Alle 7 miljard mensen op aarde kunnen die informatie zelf ook opzoeken.
Als er verborgen gegevens bij zitten dan is dat een hele andere zaak, maar dan had het artikel dat moeten noemen (en waarschijnlijk ook wel gedaan) dus ik vind het voor nu een storm in een glas water.

Myedvyed @Sito • 8 april 2021 15:50

Mijn telefoonnummer zit erin, dat is nooit openbaar geweest op Facebook. Dus dit is geen publieke data en kan niet achterhaald zijn met scraping.

Sito @Myedvyed • 8 april 2021 16:24

Mijn reactie gaat niet over Facebook, maar over wat @leto001 aangaf over een 'lek' bij LinkedIn.

Wakoz @Sito • 8 april 2021 20:34

Het moet afgeschermde informatie geweest zijn aangezien ik m'n nummer nooit publiekelijk op FB heb geplaatst. Ik kan me eigenlijk niet eens herinneren dat ik überhaupt m'n nummer heb ingevoerd bij FB. Maar misschien voor 2FA.

Sito @Wakoz • 8 april 2021 21:44

Mijn reactie gaat niet over Facebook, maar over wat @leto001 aangaf over een 'lek' bij LinkedIn.

dormamu @leto001 • 8 april 2021 19:25

Ik raad je aan om het artikel dat je linkt nogmaals goed door te lezen. Het gaat in allerwaarschijnlijkheid niet om een nieuw lek maar om een oud lek van jaren geleden waarvan de getroffenen, waaronder ik, toentertijd al van op de hoogte zijn gesteld

"it's unclear whether the threat actor is selling up-to-date LinkedIn profiles, or if the data has been taken or aggregated from a previous breach suffered by LinkedIn or other companies."

Amasik @leto001 • 9 april 2021 16:22

De AP moet een afweging maken of ze hier iets mee doen.

Als ze namelijk juridische stappen tegen Facebook gaan nemen dan komt het waarschijnlijk neer op wie heeft het grootste budget. het legal budget van Facebook zal vele malen groter zijn dan van de AP.
Facebook gaat nog eerder een grote marketing campagne beginnen tegen een partij dan dat ze verlies erkennen in dit soort zaken.

De mensen van facebook legal weten dit natuurlijk ook.

Twixie 8 april 2021 09:35

Is dit geen flagrante schending van de GDPR ? Als ze hier geen enorme EU boete voor oplopen, weet ik het ook niet meer.

r03n_d @Twixie • 8 april 2021 09:51

Waarschijnlijk krijgen ze over een paar jaar een keer een boete die voor ons hoog klinkt, maar wat voor Facebook slechts wisselgeld is.

TIGER79 @Twixie • 8 april 2021 19:39

Straks zijn wij Europeanen super blij met een boete van 200 miljoen ofzo... Want dat zal ze wel leren... Facebook verdient dat wel weer in een weekje terug en dan is het weer business as usual...

mr.paaJ 8 april 2021 09:38

, bevat facebook ID’s maar ze hebben geen idee bij wie die horen.

choi99 8 april 2021 13:47

Natuurlijk gaan ze de getroffenen niet informeren, want dat zal ze veel imagoschade opleveren. Die half miljard mensen die zn bericht zouden krijgen gaan het bovendien weer doorvertellen aan anderen en zo het slechte beeld wat FB al heeft nog verder vergroten, waardoor men het sluiten van hun account in overweging zullen nemen en dat is wat FB wil voorkomen.

dragon4ce 8 april 2021 09:31

Wat een arrogantie.... download die lijst, vergelijk hem met je huidige database en stuur een email. Heeft een beetje programmeur zo gepiept. Het is totale onzin dat ze dat niet voor elkaar krijgen.

Ik hoop dat de verschillende AP's ze hard op de vingers tikken!

T-men @dragon4ce • 8 april 2021 09:42

"Wat een arrogantie...." mee eens !

Maar toch....

Stel dat Facebook wél gaat informeren. Wat dan ? Met welke informatie in zo'n bericht zou een slachtoffer geholpen zijn ?

"Dat facebook gehackt is ?" Dat staat al in deverse media.
"Uw gegevens liggen op straat !" De meeste gebruiken juist facebook om alles al op straat te gooien. Whats new ?
"Wijzig je wachtwoord !" Dit moet je sowieso regelmatig doen. Het betreft oude data waar niet eens wachtwoorden in zitten.

Het enige nuttige wat ze zouden kunnen zeggen is "Sorry !" (Vandaar de eens met arrogant) Maar van de sorry-cultuur krijg ik zo langzamerhand óók de kriebels !

Antipater @T-men • 8 april 2021 09:53

Echt niet iedereen is zich hiervan bewust en in staat z'n gegevens zelf te achterhalen online, of heeft er de aandacht of tijd voor. Bovendien wil je ook weten welke gegevens zijn gelekt, hoe het kon en wat facebook eraan doet het te voorkomen. Van mij is bijvoorbeeld m'n telefoonnummer gelekt, terwijl ik dat enkel voor 2fa had ingesteld, daar denk je dan niet aan bij een datalek.

Ik wil wel van zoiets op de hoogte gesteld worden en dat facebook dit niet doet schaadt zeker mijn vertrouwen in het bedrijf, des te meer omdat facebook allerlei kul redenen opvoert.

Ik vermoed eigenlijk dat de meeste mensen dit nieuws niet lezen of hun schouders erover ophalen en facebook dit ook weet. Als je die mensen persoonlijk op de hoogte gaat stellen komt het voor hen dichterbij, wat hun vertrouwen zou kunnen schaden.

y0da @Antipater • 8 april 2021 10:38

idem hier, telefoon nr gelekt en nodig voor 2FA
Je kan 2FA ook niet meer afzetten toch?

InjecTioN

@y0da • 8 april 2021 11:01

Exact daar ligt nu juist de essentie van het beveiligings issue dat er speelt. Een telefoonnummer is zonder problemen ge-spoofed, waarna 2FA in theorie omzeild kan worden wanneer men een bericht moet sturen vanaf een bepaald nummer.

Op NPO3 was laatst de documentaire Bait te zien over hoe diverse oplichters te werk gaan met informatie zoals bijvoorbeeld telefoonnummers. Ik stond perplex.

Dat gezegd hebbende, vind ik dat Facebook er wel heel erg laconiek mee omgaat.

[Reactie gewijzigd door InjecTioN op 22 juli 2024 16:23]

Naafkap @InjecTioN • 8 april 2021 12:49

Een telefoonnummer is zonder problemen ge-spoofed, waarna 2FA in theorie omzeild kan worden wanneer men een bericht moet sturen vanaf een bepaald nummer.

Hier ga je wat kort door de bocht. Bij de Nederlandse providers is het echt niet zo eenvoudig om een telefoonnummer te spoofen. Een nieuwe simkaart kan niet worden geactiveerd zonder autorisatie via sms op de oude simkaart. Onmogelijk? Zeker niet. Eenvoudig? Nee ook niet.

telenut @Antipater • 8 april 2021 10:55

Ben je dit zo zeker dan? Volgens mij zijn enkel de mensen die gevonden konden worden op facebook via hun telefoonnr opgenomen in die lijst. En die optie werd gepushed met de mobiele client. Daar zal je vermoedelijk dus toch eens uw nr ingegeven hebben en die toestemming gegeven hebben...
Omdat je toch maar zou weten wie van uw contacten in uw smartphone ook op facebook zat.

_--[]--__ @telenut • 8 april 2021 12:15

Facebook gebruikte in het verleden ook het nummer dat je puur voor 2FA doeleinden had opgegeven voor advertenties en om je vindbaar te maken. Dat is/was niet iets waar je toestemming voor kon/moest geven. Zie: https://tweakers.net/nieu...d-via-telefoonnummer.html

telenut @_--[]--__ • 8 april 2021 12:22

Dan is het echt wel een fout van facebook... dit wist ik niet!

mark033nl @Antipater • 8 april 2021 10:45

Of de meesten mensen zijn inmiddels de handelswijze van FB wel een beet gewend.

kodak

Networking en security
Datalek
Privacy

@Antipater • 8 april 2021 13:24

Dat mensen zich niet bewust zijn dat hun gegevens konden lekken lijkt me hier toch iets anders dan het melden van het lek op basis van deze dump.

Het uitgangspunt van duidelijk zijn lijkt nu namelijk veroorzaakt door het meet verspreiden van de gegevens, niet omdat ze nog niet gelekt waren. Maar wat verwacht je dan de volgende keer als er gegevens van Facebook publiek online gevonden worden? Er lijkt nauwelijks mogelijkheid te controleren wanneer die bij Facebook verkregen zijn, of uit welke lekken ze samengeraapt zijn. Moet een bedrijf dan maar iedere keer de gebruikers gaan waarschuwen en aan het handje nemen?

Ik denk dat het probleem hier niet is dat er nu meer aandacht voor de gelekte gegevens is, maar dat een bedrijf de gebruiker niet genoeg bewust maakt wie er wanneer bij welke gegevens kon en kan. En dat het bedrijf nauwelijks duidelijke en gepaste controle toepast en aan de klanten geeft om te voorkomen dat gegevens in verkeerde handen komen.

PdeBie @Antipater • 8 april 2021 11:33

Ik wil wel van zoiets op de hoogte gesteld worden en dat facebook dit niet doet schaadt zeker mijn vertrouwen in het bedrijf, des te meer omdat facebook allerlei kul redenen opvoert.

Dus tijd om je account op te zeggen?

jeffrhap @Antipater • 8 april 2021 15:01

Hier precies hetzelfde, telefoonnummer alleen voor 2FA ingesteld.
Inmiddels de 2FA via sms maar vervangen met een authenticator app.

The Zep Man

Websites en community's
Datalek
Privacy
Networking en security
Facebook

@T-men • 8 april 2021 09:43

Stel dat Facebook wél gaat informeren. Wat dan ?

Ze voldoen dan aan wet- en regelgeving, wat een stuk fijner is dan wat zij nu doen. Als melden verplicht is, dan moet men melden. Tevens geeft het gebruikers de kans om inzicht te krijgen in wat Facebook met hun gegevens doet.

Ik zie nu overigens wel ruimte voor een class action lawsuit van gebruikers die niet correct geïnformeerd zijn door Facebook. Die grote groep gebruikers is overigens niet zo lastig om te vinden.

Ik vind een bedrag van 20 EUR per getroffen gebruiker wel redelijk. Laat dat uitbetalen aan een fonds waar getroffen gebruikers zich kunnen melden voor het betreffende bedrag. Het restbedrag wordt na verloop van tijd verspreid over de AP's naar ratio.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:23]

MatthiasL @The Zep Man • 8 april 2021 09:46

Ze verdienden in 2016 iets van 150 euro per persoon, per jaar aan je. Dus die 20 euro is niet zoveel..

The Zep Man

Websites en community's
Datalek
Privacy
Networking en security
Facebook

@MatthiasL • 8 april 2021 09:48

+10 miljard is een leuke start voor een enkel lek waar er zeker nog meer van zullen volgen, en het helpt ook met financiering van AP's in verschillende landen waar het volledige bedrag niet geclaimd wordt.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 16:23]

bilgy_no1

@The Zep Man • 8 april 2021 12:41

Precies dit. De wet voorziet in een meldplicht van datalekken. Nuance hierbij is dat de aard van de meldplicht afhankelijk is van het risico voor de 'slachtoffers'. Alleen bij een hoog risico 'voor de rechten en vrijheden van natuurlijke personen' geldt ook een directe meldplicht bij de slachtoffers.

Dus laten we maar eens kijken hoe de APG hiermee omgaat...

R4gnax

Datalek
Networking en security
Privacy

@bilgy_no1 • 8 april 2021 12:49

Alleen bij een hoog risico 'voor de rechten en vrijheden van natuurlijke personen' geldt ook een directe meldplicht bij de slachtoffers.

Moet je er even rekening mee houden hoeveel persoonlijke informatie er aan deze gelekte profiel-data vastzit. Gaat wel iets verder dan enkel NAW gegevens. De compleetheid van de data en de mogelijkheid om deze voor social engineering te misbruiken maakt dit toch wel redelijk hoog risico, zou ik denken.

bilgy_no1

@R4gnax • 8 april 2021 12:58

Ik ben dat wel met je eens, maar uiteindelijk zal het op een uitspraak van de APG aankomen denk ik.

Goudvis @T-men • 8 april 2021 09:46

Maar: Als jouw gegevens op straat belanden na een hack bij jouw gemeente, dan waardeer je toch ook een formeel briefje met welgemeende excuses?
Want: PartijX beschikt over bepaalde gegevens van jou en je waardeert een bepaald gebaar wanneer met die gegevens klaarblijkelijk slordig wordt omgegaan. Als iemand je op straat per ongeluk een schouder geeft waardeer je ook een 'sorry'.

Wat een kul-argument om te stellen dat FB niet actief de getroffen gebruikers hoeft te informeren 'omdat het toch al in diverse media staat'.

BleghBlarg @Goudvis • 8 april 2021 10:17

Vooral voor mensen op facebook nog wel eens de media willen wegzetten als hoax. Het is niet dat ik ze actief wil helpen maar een beetje normaal doen mag. Voor hetzelfde geld is dit lek dat in de media staat een poging om die mensen het vertrouwen in FB te laten opgeven. (naar hun inziens)
Plus gewoon de tech sector op een nieuwssite "omdat ik dat toch niet begrijp" negeren zorgt er al voor dat je hier niet van op de hoogte bent.
Kwalijk.

Fluttershy @Goudvis • 8 april 2021 10:26

Als jouw gegevens op straat belanden na een hack bij jouw gemeente, dan waardeer je toch ook een formeel briefje met welgemeende excuses?

Excuses zijn leuk maar niet relevant.

Wat ik echter wel graag wil zien is een melding vanuit een lekkende partij dat mijn persoonlijke gegevens op straat liggen zodat ik daar eventueel actie op kan ondernemen.

coen254 @T-men • 8 april 2021 09:45

Voor de meesten zal het weinig uitmaken, maar stel dat iemands data gevoeliger ligt? Bijvoorbeeld iemand met een publieke functie of iemand die gestalkt word? Dan wil je wel weten dat je telefoonnummer op straat ligt zodat je die kan vervangen.

Tjidde @coen254 • 8 april 2021 10:49

Of gewoon iedereen?

Als ik de volgende data van jou heb: telnummer, woonplaats, werk, geslacht en leeftijd. Kan ik heel specifiek jou proberen te scammen. Als jij iemand belt met het mom van ik ben van bedrijf X of bank Y en weet al die gegevens zo op te ratelen. Is het ineens een stuk betrouwbaarder in jou beleving.

Er is natuurlijk nu mega veel aandacht in alle vormen van media om mensen te wijzen op dit soort praktijken. Maar als jij maar een seconde niet oplet kan het je flink geld kosten.

kodak

Networking en security
Datalek
Privacy

@J.E. Weinor • 8 april 2021 13:42

Dan kan je net zo goed gaan beweren dat je dan maar geen telefoonnummer of emailadres moet gebruiken omdat die hoe dan ook een publieke kant hebben of te achterhalen is bij wie dat hoort doordat anderen het delen.

Persoonsgegevens hebben al heel lang bescherming vanuit de wet, juist omdat de mogelijkheden niet zomaar moet betekenen dat anderen maar met je gegevens mogen doen wat ze willen. Of jij je gegevens nu verstrekt aan een bedrijf dat je mail regelt of een sociale functie heeft, dat wil niet zomaar zeggen dat anderen dus standaard bij je gegevens horen te kunnen en ook niet massaal. Daarbij lijkt dit bedrijf de schijn te hebben gewekt dat gebruikers hun gegevens zouden afschermen terwijl dat in de praktijk kennelijk niet bestond. Dan kan je het wel willen afdoen als het is een social platform dus dan moet je je gegevens daar maar niet door laten verwerken, maar dat lijkt me behoorlijk onredelijk bij de wet en vanuit omgang met andermans gegevens.

Mathijs B @T-men • 8 april 2021 09:48

Niet iedereen is slim genoeg om te redeneren wat er nu met die data gedaan kan worden. Vooral met de data wat facebook heeft kunnen criminelen makkelijk misbruik gaan maken. Denk bijvoorbeeld aan het sturen van een berichtje naar ouders met de tekst dat ze hun kind zijn en dat ze een nieuw nummer hebben. Facebook kan de mensen minimaal waarschuwen dat hun data op straat ligt met de mogelijke gevaren.

neowulf @T-men • 8 april 2021 09:50

Punt 1:
Zodat gebruikers die niet tech-news-savvy zijn en meestal ook niet zo security-wantrouwend, actie kunnen ondernemen.
Punt 2:
Dat Facebook eens over de vloer moet kruipen en de klachten voelt in de portemonnee.

bytemaster460 @T-men • 8 april 2021 09:56

Er bestaan natuurlijk heel veel wettelijke verplichtingen die heel erg vanzelfsprekend zijn, maar toch staan ze in de wet. Facebook dient gewoon te voldoen aan de wet door na een datalek de getroffenen te informeren. Dat je je als burger daarover zelf ook kunt informeren staat daar helemaal los van.

dutchgio @T-men • 8 april 2021 09:56

Het is zoals het hoort, en zoals elk ander bedrijf dat volgens de lokale wet- en regelgeving is vereist te doen. Omdat Facebook een dusdanig groot bedrijf is is voor hun niet van toepassing? Dat is arrogantie.
En als Facebook het niet hoeft, hoeft Twitter het ook niet te doen. En Clubhouse ook niet. En dat andere lek ook niet. etc.
Dan komt die kleine partij die niet in het nieuws komt er ook wel mee weg. En dan heeft de wetgeving dus geen zin meer.

Wachten... @T-men • 8 april 2021 09:58

Lees mijn andere bericht ook even.

Niet iedereen leest het nieuws zoals wij dat lezen en gaan er vanuit dat Facebook wel een mail zal sturen als er iets ergs was gebeurt (zoals nu het geval is).

De reden "het is al gebeurt en je kan er niks meer aan doen" klopt ook niet helemaal.

Spam phising e.d. wordt nu vanuit jouw naam gedaan. Je kan op zijn minst klanten hierover informeren en dat ze extra alert moeten zijn op rare berichten of activiteiten.

Daarnaast is het ook nog zo dat het voor Facebook beter uit komt om het niet te delen want Facebook geeft hiermee aan dat er iets 'ergs' is gebeurt en zal hierdoor klanten kwijtraken. 500 miljoen gebruikers he? Besef dat even.

[Reactie gewijzigd door Wachten... op 22 juli 2024 16:23]

nwagenaar @T-men • 8 april 2021 10:13

"Uw gegevens liggen op straat !" De meeste gebruiken juist facebook om alles al op straat te gooien. Whats new ?

Ik heb al sinds het begin de Privacy instellingen van mijn profiel zodanig aangepast op datgene wat ik deel alleen wordt vrijgegeven aan mijn Facebook vrienden; het enige wat ze konden zien was mijn Profiel foto en Naam; mijn telefoonnummer, e-mailadres, gender, geaardheid, etc, etc was niet zichtbaar voor mensen buiten mijn Facebook vriendenkring.

Nu blijkt dus al deze informatie toch beschikbaar te zijn gemaakt - buiten mijn toestemming - en kan het ook nog eens gebruikt te kunnen worden voor fraude bijvoorbeeld of het aanmaken van fake online profielen die door een online check probleemloos zullen worden gekenmerkt als betrouwbaar.

Blokker_1999

Websites en community's
Datalek
Networking en security
Privacy
Facebook

@T-men • 8 april 2021 10:15

Dat facebook gehackt is ?" Dat staat al in deverse media.

Waarbij vele mensen alsnog niet beseffen dat zij wel eens getroffen kunnen zijn of wat de mogelijke gevolgen hiervan zijn. Het typische "dit overkomt mij niet" verhaal.

Uw gegevens liggen op straat !" De meeste gebruiken juist facebook om alles al op straat te gooien. Whats new ?

Op Facebook wil ik zelf kunnen bepalen wat ik deel en met wie. Deze data is kunnen lekken omdat Facebook ervoor gekozen had deze informatie standaard openbaar te maken met een instelling waarvan maar weinig mensen wisten dat ze bestond en een zoekfunctie waarvan weinig mensen wisten dat het mogelijk was.

"Wijzig je wachtwoord !" Dit moet je sowieso regelmatig doen. Het betreft oude data waar niet eens wachtwoorden in zitten.

Dat is een verouderd concept. Vanuit de security wereld wordt vandaag meer ingezet op goede, complexe maar permanente wachtwoorden, liefst in combinaie met 2FA. Veranderden wachtwoorden zorgen vaak voor veel eenvoudigere wachtwoorden met een volgnummer.

Het enige nuttige wat ze zouden kunnen zeggen is "Sorry !" (Vandaar de eens met arrogant) Maar van de sorry-cultuur krijg ik zo langzamerhand óók de kriebels !

Een verontschuldiging is wel het absolute minimum dat ze zouden moeten doen, alsook advies over hoe je jezelf beter kunt beschermen, hoe zij je data beter gaan beschermen enzoverder.

satya @T-men • 8 april 2021 10:15

Niet iedere gebruiker zal actief nieuws volgen of weten wat er gebeurd, dus het informeren van je gebruikers, en wat ze op basis van de beschikbare gegevens bij andere partijen ligt en wat men op basis daarvan kan verwachten is wel op zijn plaats, plus eventuele maatregelen die als gerbuiker kunt doen om je prive data bij facebook beter af te schermen.

Over het lek bij RDC via twee garages netjes geïnformeerd, en vorige week zelfs al op basis van van een van mijn oude zakelijke email adres een phishing melding gehad namens 'Visa', zo snel gaat dat kennelijk.

gooos @T-men • 8 april 2021 10:24

Dan zouden ze het gewoon breder moeten trekken en *iedereen* moeten inlichten en adviseren om hun wachtwoord te wijzigen.

Ook een link naar iets als Have I Been Powned zou dan op zijn plaats zijn. Kennelijk kan die wel zo'n dataset binnen no time doorzoekbaar maken en heeft een heel grote partij als Facebook daar, met al zijn programmeurs, heel veel moeite mee om dat mogelijk te maken.

Als Facebook het goed wil doen dan koppelen ze de zoekresultaten uit die database aan de Privacy info pagina van de getroffen gebruikers.

Wat ze nu eigenlijk doen is iedereen oproepen om maar de volledige dataset te downloaden en daarmee de verspreiding van de gelekte data aan te jagen.

Wat mij betreft duiken de Europese GDPR autoriteiten hier bovenop en laten ze Facebook niet wegkomen met een simpele "sorry" en "technisch niet mogelijk".

Tjidde @gooos • 8 april 2021 11:00

Ik zou juist niet een link sturen naar Have I Been Powned. Hoe goed ik die website ook vind. Als jij iemand die geen flauw idee heeft naar die website stuurt. Die zal nooit daar zijn gegevens in vullen want die site ziet er nu niet bepaald uitnodigend uit om je gegevens in te vullen.

Wat in mijn optiek moet gebeuren.

Stuur een mail met er is data gelekt van jou uit 2019. Er is mogelijk je telefoonnummer geboortedatum woonplaats geslacht gelekt. Log in op facebook en je krijgt precies te zien welke data er over jou naar buiten is gekomen. Heb jij in tussentijd je Facebook account verwijderd? Ga dan naar facebook.com/leak2019 om je gegevens in te zien naar verificatie (token via mail).

Mogelijke misbruikers van deze data kunnen de volgende dingen proberen.....
Je kunt de volgende stappen ondernemen om dit te voorkomen.....

Lees hier meer over de data lek (facebook.com/leak2019)

Waarom ik juist zeg login op facebook om te checken is om te voorkomen mensen denken het een scam mail is. Plus dan vang je ook meteen de mensen af die nooit mails van Facebook lezen.

Laat de melding minimaal x tijd staan na eerste keer lezen.

[Reactie gewijzigd door Tjidde op 22 juli 2024 16:23]

Stannieman @T-men • 8 april 2021 10:31

Stel je rijdt iemand z'n hond omver.
Met welke info is de eigenaar geholpen?

Dat zijn hond dood is?
Houd je volgende hond op het voetpad?

Het enige nuttige wat je kan zeggen is "Sorry!".

Én je kan voor jezelf ook zorgen dat het niet meer gebeurd door eventueel je rijstijl aan te passen.
FB kan in zo'n mail vertellen welke acties ze ondernemen om dit in de toekomst te voorkomen. Dan laat je toch al doorschijnen dat ze het vertrouwen van hun gebruikers/producten nodig hebben en willen terugwinnen (al zal jouw vertrouwen hun in de praktijk geen reet kunnen schelen maar dat geven ze toch niet toe).

R4gnax

Datalek
Networking en security
Privacy

@Stannieman • 8 april 2021 12:56

Met welke info is de eigenaar geholpen?

Droog zakelijk gezien is deze geholpen met jouw contact- en verzekeringsgegevens. Als ik me niet vergis valt een huisdier nl. onder eigendom en heb je dus eigendom vernield.

Wordt eigenlijk eens tijd dat dit soort online 'aanrijdingen' van je privacy op eenzelfde manier afgehandeld worden: verzekeraars die onderling schade vaststellen en uitkeren, incl. zaken zoals extra identiteitsbescherming makkelijk kunnen regelen, etc.

Zodra het hiertegen moeten verzekeren en de oplopende premies bij recidive een on-ontsnapbare terugkerende kostenpost worden voor bedrijven, zal er misschien eindelijk eens iets aan de beveilingssituatie verbeteren.

[Reactie gewijzigd door R4gnax op 22 juli 2024 16:23]

anboni @T-men • 8 april 2021 10:36

Het zal voor een aanzienlijk deel van de getroffenen wellicht een goede wake-up call zijn dat ze voorzichter moeten zijn met wat ze allemaal met bedrijven als FB delen. Dat is natuurlijk ook de belangrijkste echte reden waarom FB er niet proactief over wil informeren, dat gaat hun verdienmodel gegarandeerd beschadigen.

White Feather

@T-men • 8 april 2021 10:37

Zeer kort door de bocht reactie.

Denk eens aan:
- Weet iedereen dat Facebook is gehackt?
- Weten de personen waar het om gaat dat zij gehackt zijn en anderen niet?
- Welke gegevens zijn er precies gehackt?
- Weten mensen wat er precies allemaal kan gebeuren op basis van de gelekte gegeven?

Dat mensen een sociaal medium gebruiken wil nog niet zeggen dat ze alles maar online zetten:
“ Facebook-id's, volledige namen, locaties, geboortedata, geslacht, e-mailadressen en andere gegevens staan ook in de dataset.”

bbob

Facebook
Privacy

@T-men • 8 april 2021 10:45

Geen maar toch. De wet is duidelijk bij een lek moet je dat melden.
Geef mij eens 1 reden waarom ieder ander bedrijf die moet melden en facebook niet.

Het komt er op neer ach die wet is leuk maar wij zijn van mening dat deze onzinnig is en niet van toepassing. Dat klinkt niet alleen arrogant, dat is het ook.

Maar goed ik mag hopen dat dit met dikke boetes afgestraft zal worden.

Wisher @T-men • 8 april 2021 11:04

Ik heb een paar collega's en familie gecheck en een boodschap gestuurd over dat ze moeten opletten op scam-mailtjes die van bekenden af lijken te komen omdat deze openbare lijst dat makkelijker maakt.

De scam: "He pap, ik heb een bekeuring kun jij die even overmaken, ik betaal je volgende week terug" is nu veel makkelijker te fabriceren en te versturen door een grotere groep.

Omdat een spammer makkelijker meer weet van je (werk, relaties, locaties) kunnen ze zich makkelijker/overtuigender als een bekende voordoen. Mijn familie is niet zo 'tech' dus die kunnen wel een waarschuwing gebruiken over dat ik ze nooit om geld of gegevens zal vragen via een appje/mail of website. Dat gaat altijd via de telefoon. En als je me niet kunt bellen omdat ik "mijn telefoon kwijt ben" dan geloof er maar gewoon niks van. Hoe groter de spoed, des te wantrouwiger mag je zijn.

... zul je zien dat ik op mijn volgende vakantie in de problemen kom en mijn phone kwijt ben ...

[Reactie gewijzigd door Wisher op 22 juli 2024 16:23]

nhimf @T-men • 8 april 2021 10:50

Zijn ze dit in Europa niet verplicht te doen? In Nederland wel? Lijkt me een mooie voor de authoriteit persoonsgegevens.

Of het in de media staat of niet lijkt me irrelevant. Ten eerste: ben ik getroffen? Sowieso moet het bedrijf zijn gebruikers informeren en het niet overlaten aan derden. Lijkt me dus een hele slechte zaak dat Facebook zijn verantwoordelijkheid niet neemt hierin.

Coolstart @T-men • 8 april 2021 11:14

Ik denk dat je veel kan zeggen en het heeft niets met een sorry-cultuur te maken maar met een bewustwordingscultuur.

- Tips geven om uw gegevens te beschermen in Facebook. Facebook heeft een tal van tooltjes om uw profiel te reviewen wat publieke data betreft en ook bepaalde data af te schermen. Niet iedereen is zich bewust van het feit dat sommige foto's en data toch online staan omdat uw vrienden hun reageren op een foto maar die reactie wel 'public' hebben staan.

- Mensen bewustmaken wat criminelen met die gegevens kunnen doen om u om de tuin te leiden.

Btw, Mijn gsm-nummer is ook gelekt. Mogelijk stond die vroeger wel publiekelijk? Nu staat die op 'Alleen ik' en dat is zover ik weet altijd zo geweest. Mogelijk is die hack echt al heel oud.

'De meeste gebruiken juist facebook om alles al op straat te gooien. Whats new ?" Dat is nu het slechtste argument dat je maar kan verzinnen wat mij betreft.

R4gnax

Datalek
Networking en security
Privacy

@Coolstart • 8 april 2021 13:04

Btw, Mijn gsm-nummer is ook gelekt. Mogelijk stond die vroeger wel publiekelijk? Nu staat die op 'Alleen ik' en dat is zover ik weet altijd zo geweest. Mogelijk is die hack echt al heel oud.

Deze hack betreft een fout in de implementatie van een stuk authenticatie-code van Facebook waardoor bij bepaalde verzoeken om profieldata in te mogen zien, het mogelijk was om de checks op de zichtbaarheid van de data voor de desbetreffende gebruiker te bypassen.

Dit kon worden misbruikt; en is dus misbruikt, om massaal door de gegevens te spitten van profielen die normaal alleen in gesloten kring zichtbaar zijn.

litebyte

Facebook

@T-men • 8 april 2021 11:31

Facebook is verplicht om ze te infomeren..als ik mij de wetgeving goed kan herinneren.

Los daarvan zou elke zichzelf respecterende overheid (u weet wel die org. die verantwoordelijk is voor de veiligheid van haar burgers) moeten zeggen - nu is het genoeg - Facebook je zorgt ervoor dat iedereen op de hoogte wordt gesteld (in combinatie met een door de overheid opgestelde waarschuwing over het gevaar van het gebruik van facebook) en tot dan kan je je 'services' niet meer richten op onze burgers.

Als een van de grootste steekpenning betalers in de EU (2de plek), snap ik wel dat dit politiek nogal gevoelig ligt en dat je in relatie tot VS/facebook met twee maten meet in vergelijknig met andere landen/'bedrijven'.

eboellie @T-men • 8 april 2021 11:35

neen er is meer: mensen moeten begrijpen waarom hun mobiele nummer ineens wordt misbruikt..

Zag bij een paar digibeten al dat hun gegevens op straat ligt. Moet ik ze nu informeren of moet Faceboek dat doen?

moonlander @T-men • 8 april 2021 11:42

Kun je mij je pincode geven voor je bankpas? Ik heb je bankpas toch niet, dus kan geen kwaad.
En misschien dan ook meteen je voornaam, laatste 6 cijfers van je IBAN, geboortedag/maand, simkaart nummer...

Franckey @T-men • 8 april 2021 11:53

... Stel dat Facebook wél gaat informeren. Wat dan ? Met welke informatie in zo'n bericht zou een slachtoffer geholpen zijn ?

Het is gewoon netjes dat je het van Facebook zelf hoort in plaats van dat je dat uit de media moet vernemen.

Sorki @T-men • 8 april 2021 12:06

Ze moeten geen sorry zeggen, ze moeten gewoon gebruikers informeren dat hun data mogelijk gelekt is.
Dit is het enige wat je als bedrijf kan doen in deze situatie als je ook maar enig fatsoen hebt.

Maar ja, zo'n mail kan het vertrouwen dat mensen in facebook hebben aantasten, en dat past niet in hun beeld dat ze van zichzelf willen ophangen.

field33P @T-men • 8 april 2021 12:45

Een bedrijf heeft in de Europese Economische Ruimte de wettelijke plicht om slachtoffers van een datalek te informeren, ongeacht of de data wel of niet misbruikt wordt of kan worden.

SPee @T-men • 8 april 2021 22:58

Ik denk dat FB zijn gebruikers niet willen informeren, omdat dan mensen schrikken en niet meer van FB gebruik zullen maken. Dat kost geld.
Nu weet een groot deel dit niet, een ander deel gaat niet actief op zoek (teveel moeite of denkend "FB waarschuwt mij wel") dus de negatieve impact is lager.
En daarmee is ook ook de associatie met het platform positiever, blijven mensen en gaan ze niet naar de concurrent.
Dus daarom zou FB het moeten laten weten. En zullen ze dat ook willen voorkomen.

n3z @dragon4ce • 8 april 2021 09:42

Een dikke middelvinger maar alle gebruikers en AP's.

Minimaal een miljarden boete. Anders kan je de hele wetgeving wel weggooien als je toch niet naar gaat handelen.

Retrospect @n3z • 8 april 2021 10:40

Dit is idd pure minachting van gebruikers en van EU wetgeving. Een boete van een paar miljard is een begin. Strafrechtelijke vervolging van de Facebook bestuursleden is een mooie tweede stap. Dat doet ze echt pijn, dat is de enige manier om moraal af te dwingen.

[Reactie gewijzigd door Retrospect op 22 juli 2024 16:23]

hackerhater @n3z • 8 april 2021 09:53

4% van de jaarlijkse wereldwijde omzet toch?

n3z @hackerhater • 8 april 2021 11:02

3,5 miljard dus. Mooi bedrag.

Mathijs B @dragon4ce • 8 april 2021 09:34

Ik mag inderdaad hopen dat ze hier niet zo makkelijk mee wegkomen. Ze maken vaker zulk soort uitspraken dat dingen technisch niet mogelijk zijn (het uit elkaar trekken van whatsapp en facebook terwijl ze hadden gezegd dat ze dat überhaupt nooit zouden samenvoegen)

ikt @Mathijs B • 8 april 2021 10:35

"Dat is technisch niet mogelijk" bij techbedrijven is gewoon "Dat kost ons meer dan het simpelweg betalen van boetes".

Het is ook niet dat ze blijven worden beboet, die boetes zijn volgens mij bijna altijd eenmalig en dan kunnen ze op dezelfde voet door.

Tjidde @ikt • 8 april 2021 11:14

Totdat er een gerechtelijke uitspraak komt. Met een dwang, stel er ligt een dwangsom en daar is het maximale van bereikt kan de winnende partij als nog naar de rechter om het nog sterker af te dwingen.

Als dit gebeurd met een bedrag dat hoog genoeg is, zal het ook voor Facebook goedkoper zijn om het aan te passen.

Stel een rechter spreekt uit dat de data van Whatsapp en Facebook uit elkaar moeten en vernietigd worden. Als dit gedaan is moet dit met behulp van een audit door minimaal x bedrijven bevestigd zijn. Dat binnen een termijn van zeg 2 maanden. Zo niet 0.1% wereldwijde jaarlijkse omzet per dag dwangboete. Dan gaat ook Facebook buigen.

Er gaat een moment komen dat een instelling voor persoonsgegevens ergens in Europa dat gaat doen. Niet luisteren? Dan maar voelen. Zeker aangezien steeds meer landen binnen de EU strenger worden op basis van databescherming.

coen254 @dragon4ce • 8 april 2021 09:34

Het feit dat je het via HIBP en zo al wel kan zien bewijst dat ook goed.

Bananenplant @dragon4ce • 8 april 2021 09:38

En nu weet ik wat voor klacht ik bij hun DPO ga neerleggen voordat ik een klacht bij de AP ga doen

.

Zie ook hier: -DarkShadow- in 'nieuws: Belgische toezichthouder roept slachtoffers van Face...

[Reactie gewijzigd door Bananenplant op 22 juli 2024 16:23]

Suicyder

@Bananenplant • 8 april 2021 09:56

Het zal wellicht aan mij liggen, maar wanneer ik product "Facebook" aantik en welke optie daaronder ook blijft het knopje send'/verzenden inactief. Doe ik iets verkeerd of is deze nu gewoon dicht gezet?

edit:
Ah gevonden -> 'other product' etc en via die weg

[Reactie gewijzigd door Suicyder op 22 juli 2024 16:23]

MatthiasL @dragon4ce • 8 april 2021 09:45

Wat ze dus eigenlijk zeggen, is dat ze een vrij incapabel bedrijf zijn. Immers, ieder bedrijf heeft wel netjes mailtjes kunnen sturen in het geval van een datalek.

En dit bedrijf moet je dan vertrouwen met je data.. en camera's in je woonkamer (VR). Nog even los van de discussie hoe zuiver ze uberhaupt met je privacy om gaan, er zijn weinig bedrijven waar je zo duidelijk niet een klant maar een product bent.

m3gA @dragon4ce • 8 april 2021 09:46

En dat is wat een aantal mensen al gedaan heeft. Binnen een dag. Dus het is wel een enorm zwak excuus.

Peran @dragon4ce • 8 april 2021 09:46

Tenzij er meer aan de hand.., niet heel onwaarschijnlijk. Precies om de reden die @dragon4ce aangeeft..

iAR @dragon4ce • 8 april 2021 09:55

Hiermee is inderdaad opnieuw duidelijk hoe Facebook in de maatschappij staat: hun resources (of gebruikers; hoe je het wilt noemen) boeit hun weinig, zo lang zij maar data afgeven. De klanten van Facebook (de adverteerders) liggen waarschijnlijk in een zachter bedje.

Ik ben benieuwd of in het anti grote tech sentiment er hier in Amerika zelf ook meer focus op dit soort asociale praktijken komt te liggen.

Tweakwondo @dragon4ce • 8 april 2021 10:06

interesseert hun geen flikker netzoals de gebruikers die doodleuk door gaan. Boeien..

dit soort praktijken, en het is zeker niet de eerste en laatste keer, mag flink worden afgestraft met pijnlijke boetes. Als het een klein bedrijf betrof hadden ze zwaarder weer dan facebook, zij komen overal onderuit.

Blackboard @dragon4ce • 8 april 2021 10:16

Even meeliften op de top-comment, ik hoop iedereen aan te sporen om zelf ook een melding te doen bij de Autoriteit Persoonsgegevens. Ik heb het zojuist gedaan en hoop dat er meer volgen.

Het kan digitaal via deze link: https://autoriteitpersoon...eldingsformulier-klachten

RobinF @Blackboard • 8 april 2021 11:24

Klopt, maar waarschijnlijk zal je eerst contact moeten opnemen met Facebook zelf.

Dat kan via: https://m.facebook.com/help/contact/540977946302970 en dan Other Product > Facebook.

mvrhrln @dragon4ce • 8 april 2021 10:19

gewoon sluiten die tent, tegenwoordig maar rare gewoonte om bedrijven overal mee weg te laten komen, om het simpele feit dat ze veel gebruikers hebben.
Grootste stommiteit wat de overheden doen is zelf FB gebruiken voor aankondigingen etc.

sjaool @dragon4ce • 8 april 2021 10:58

Ze zouden in ieder geval een waarschuwing kunnen doen uitgaan naar al hun gebruikers dat het verstandig is om het wachtwoord te wijzigen in verband met een datalek. Better safe than sorry in dit geval denk ik dan.

ejabberd @dragon4ce • 8 april 2021 11:38

Als je Facebook wil samenvatten in 1 woord dan kom je inderdaad uit bij "arrogantie". Niet enkel naar overheden, gebruikers en journalisten doen ze erg arrogant. Ook als adverteerder wordt je standaard met een kluitje in het riet gestuurd als je een klacht hebt.

Als adverteerder verminder ik daarom al twee jaar mijn uitgaven op Facebook/Instagram. Het enige wat ze bereiken met hun arrogantie is dat wij al voor meer dan 10000 EUR hun concurrenten hebben ondersteund met geld dat anders voor Facebook was geweest.

Ik zou niemand aanraden om aandelen van Facebook te kopen. Hoogmoed komt voor de val.

M3m30 @dragon4ce • 8 april 2021 10:40

Ach... wie nu nog denkt dat het handig is facebook te supporten door daar een account aan te maken... ook die facebook pixels moeten weg worden gehaald.
Voor FB maakt die lek niets uit, al worden ze zo gehackt dat alle data elke dag vers te downloaden is.. maakt hen geen bal uit.
Zolang adverteerders betalen.. dat is het enige wat hen uitmaakt.

Mastofun @dragon4ce • 8 april 2021 11:05

of gewoon een SMS naar de gehackte nummers.

kozue

Facebook

@dragon4ce • 8 april 2021 11:09

Ik denk dat het meer damage control dan arrogantie is. Ze willen die laatste paar gebruikers die zich nog veilig wanen op FB ("ze zijn groot, die hebben hun beveiliging wel op orde toch?") niet ook nog eens wegjagen. Ik denk dat de kans redelijk aanwezig is dat dit, na alle privacy schandalen, de druppel is voor sommigen om eindelijk hun account op te zeggen, en dat zal FB zich ook realiseren.

Tintel

Privacy
Websites en community's

@dragon4ce • 8 april 2021 11:18

Het is niet alleen arrogant maar een manier of de shit-storm te vermijden die ze anders (terecht!) over zich heen krijgen van al die gebruikers. Slechts een heel klein deel weet dat hun gegevens op straat liggen.

En helaas weten ze zo weer de ellende te vermijden.

Er is maar 1 conclusie:
Totaal negeren die FB-rommel.

CH4OS

Datalek

@dragon4ce • 8 april 2021 14:12

Het gaat over 500 miljoen emailadressen... Dat is echt niet 'zo gepiept' ook niet door 'een beetje programmeur'. Als je denkt dat dat wel zo is, dan heb je echt geen goed beeld van de hoeveelheid van deze data.

SPee @CH4OS • 8 april 2021 23:12

Het ligt aan hoe de data eruit ziet. Als dat netjes hetzelfde gestructureerd is, dan kun je dat regel voor regel verwerken en dat kan vrij snel.
Ze hebben zelf meer data, dus dat zou het probleem niet moeten zijn. De kans dat ze een hit in hun db zullen vinden is vrijwel 100%, want die data kwam bij hun vandaan.

Anders moeten ze om hulp vragen bij de maker van "Have I Been Pwned" (jawel enkelvoudig, het is geen groot team of bedrijf) die die data al heeft verwerkt.

CH4OS

Datalek

@SPee • 8 april 2021 23:37

Die data zal wel in een SQL-database zitten inderdaad, dus dat zal wel op een gestructureerde manier opgeslagen zijn. Maar bedenk je wel, dat 550 miljoen wel heel veel records zijn, ook een cluster aan servers zal daar een flinke kluif aan hebben.

Nyarlathotep 8 april 2021 10:00

Ik lees in het artikel dat de gegevens een paar jaar terug van FaceBook zijn 'gescraped'.
Is dit dan wel een datalek?
Scrapen betekent toch het middels een script automatisch vergaren van publiekelijk beschikbare data?

En zeg nou zelf: Als je een FB account aanmaakt ga je er toch mee akkoord dat bepaalde gegevens gewoon publiekelijk zichtbaar zijn? Of na het (makkelijk) aanmaken van een FB account.

En ja hoor, daar zijn de minnetjes weer. De aluhoedjes privacypolitie is hier weer goed bezig $_/-\o_$ . Weg met kritische geluiden! Bah!

[Reactie gewijzigd door Nyarlathotep op 22 juli 2024 16:23]

stijn014 @Nyarlathotep • 8 april 2021 10:21

Je kon via telefoonnummers zoeken, ook al stond dat nummer niet openbaar. Dat is inderdaad een lek.

JayOne @Nyarlathotep • 8 april 2021 10:14

Ja, dit is een datalek. Facebook had alle mogelijke maatregelen moeten nemen om het scrapen te voorkomen. De informatie die gescraped is, wordt nu in een andere context gebruikt waarvoor de gebruiker niet expliciet toestemming heeft gegeven. Zo heb ik toestemming gegeven dat alleen mijn vrienden op FB mijn telefoonnummer konden zien. Toch is dat telefoonnummer in een publiekelijke database beland.

Roy23 @JayOne • 8 april 2021 10:26

Zo heb ik toestemming gegeven dat alleen mijn vrienden op FB mijn telefoonnummer konden zien.

Zoals ik het zie heb je dat dus in ieder geval op een moment in de tijd niet gedaan. Zoals het artikel geschreven is was jouw telefoonnummer op enig moment publiek in te zien, en dus niet alleen voor vrienden op FB. Hoe verklaar je anders dat dit telefoonnummer door middel van scraping is vergaard? Of twijfel je aan de uitleg dat de data vergaard is door middel van scraping?

strafschop @Roy23 • 8 april 2021 11:15

Via de sync optie. Niet via de profielen. Net zo goed als jij in whatsapp ziet wie van jouw contact lijst whatsapp heeft, was dit ook mogelijk door contacten te importeren op facebook.

Op dit item kan niet meer gereageerd worden.

Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek

Lees meer

Je Facebook-gegevens staan online

Reacties (232)

Lees meer

Je Facebook-gegevens staan online

Reacties (232)

Sorteer op:

Weergave: