Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Facebook wil nieuws over datalekken via scraping 'normaliseren' in de pers

Facebook wil het grote datalek waarbij gegevens werden gescrapet, benoemen als een probleem dat vaak voorkomt. Het bedrijf verwacht in de toekomst meer incidenten rondom scraping en wil dat 'normaliseren', blijkt uit een interne memo die DataNews in handen heeft.

Facebook stuurde de communicatiestrategie op 8 april rond als memo onder pr-medewerkers. DataNews wist de hand te leggen op de e-mail, waarin Facebook de langetermijnstrategie bespreekt over hoe het over scraping-incidenten denkt. Dat doet het bedrijf nadat de gegevens van 533 miljoen gebruikers op internet verschenen, waaronder die van 5,4 miljoen Nederlanders en 3 miljoen Belgen. Dat gebeurde waarschijnlijk naar aanleiding van scraping. Facebook zei kort na het incident al dat het gebruikers daar niet over zou informeren, omdat scrapen niet hetzelfde is als hacken. Tweakers schreef daar vorige week ook een Plus-artikel over.

In de memo noemt Facebook een langetermijnstrategie waarin het 'meer scraping-incidenten verwacht'. "We denken dat het belangrijk is om dit te benoemen als een probleem dat hoort bij de sector en dat we het regelmatig voorkomen ervan als normaal gaan behandelen”, schrijft het bedrijf. Facebook zegt ook dat er in de communicatiestrategie meer moet worden gesproken over het werk dat Facebook doet om scraping tegen te gaan. "We hopen dat deze activiteit, doordat ze vaak voorkomt, als normaal wordt beschouwd en dat we daarmee kritiek voorkomen dat we niet transparant zijn over specifieke incidenten."

Facebook schrijft intern ook dat veel media kritisch waren op het gedrag van het bedrijf, maar wijt dat aan 'citaten van data-experts of toezichthouders die graag het bedrijf bekritiseren'. Facebook waarschuwt pr-medewerkers voorlopig niets te zeggen over vragen die toezichthouders aan het bedrijf hebben gesteld. In Europa is de Ierse privacywaakhond inmiddels een onderzoek gestart naar het datalek.

De memo van Facebook die DataNews in handen heeft.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

20-04-2021 • 13:27

123 Linkedin

Submitter: Freeaqingme

Reacties (123)

Wijzig sortering
Wanneer een telefoon, dat alleen voor 2-auth gebruikt is en via de settings op privé is gezet, is gescrapet is dit een data lekt.

Change my mind!

Edit toevoeging:

Anders zou iedereen die een configuratie fout heeft kunnen zeggen dat er niks gelekt is maar dat het gescrapet is. Heel erg fout!

[Reactie gewijzigd door yzaazy op 20 april 2021 13:33]

Het meest kwalijke van het nieuwsbericht is dat ze nu al voorspellen dat dit in de toekomst opnieuw kan voorvallen en dat ze vooralsnog geen aanstalten maken om dit te voorkomen. Maw is deze keer jouw tel nummer niet gelekt, dan mag je verwachten dat dit bij het volgende 'scraping-incident' wel zal gebeuren.
Ja, precies dit. Ik heb destijds mijn telefoonnummer geregistreerd voor 2FA en meteen op "Only Me" gezet, wat de enige optie is om hem voor 2FA te gebruiken en niet te displayen op Facebook. Toch staat mijn nummer in de lijst van "gescrapete" telefoonnummers... Dan is die lijst, of niet alleen data van Facebook, of er is heel wat meer gebeurd dan alleen webscraping....
Het is gewoon API schrapen. Als je Facebook betaalt krijg je wel degelijk toegang tot al die informatie. Je mag ze echter per de overeenkomst niet compileren en doorverkopen.
Wat is dit voor BS? Op het moment dat je aangeeft dat gegevens niet gedeeld moeten worden met derden, dan mag je er vanuit gaan dat dit ook voor de API geldt. Als dat namelijk niet zo is, dan hebben we het over een groter probleem, dan is het een privacy issue "by design".
Het is Facebook he.
Ga er maar gerust van uit dat ze “by design” geen ene drol geven om je privacy.
Daar wil ik wel eens bronnen van zien dan. Volgens mij is er niet letterlijk betaling mogelijk voor toegang tot data. Adverteerders kunnen voorkeuren opgeven voor targeting, zoals hoogopgeleide dertigers in Rotterdam of voetballiefhebbers in Groningen, maar de data zelf blijft bij Facebook. Behalve in het geval van lekken en problemen, die dan traag worden opgelost maar toch niet de bedoeling lijken te zijn. De data is heilig voor Facebook; ze willen dat adverteerders met het platform werken, en niet zelf alle data eruit trekken. Maar als dit anders zit laat ik me graag overtuigen.

Hoe dan ook is het logisch dat zichtbaarheidsinstellingen gelden voor zowel de website als de API als de apps en alle andere publieke toegangsmethoden. Daar heeft Facebook waarschijnlijk steken laten vallen.

[Reactie gewijzigd door geert1 op 20 april 2021 16:06]

Al sinds 2010: https://www.businessinsid...hose-to-developers-2010-3

Het is ook redelijk gemakkelijk om via voorkeuren en interesses een database op te bouwen van individuelen. Je moet maar 3 dingen hebben van een persoon om een grote kans te hebben om die persoon te identificeren: hun postcode of geografische streek, hun geslacht en geboortedatum. Met al de voorkeuren die mensen hebben (voetballiefhebber, politiek, foto’s etc) kunnen adverteerders bijna 100% mensen identificeren doorheen geanonimiseerde groepen.

[Reactie gewijzigd door Guru Evi op 24 april 2021 15:04]

Dus nu zijn die gegevens dus gelekt... :P

Kan FB dat het lek niet bij hun zit = 'normaliseren van de berichtgeving'

Blijft een bende oplichters dat FarceBook
Bij mij is het zelfde gebeurd. Ik heb de huidige instelling op Facebook nu bekeken en daar staat enerzijds dat alleen ik dit nummer bij dit profiel kan zien. Maar anderzijds dat als dit nummer elders bij een Facebook product is aangeleverd men dit mag gebruiken voor advertenties en het vinden van vrienden. Dat zou via WhatsApp kunnen zijn....
Er zijn twee instellingen voor de privacy van het telefoonnummer. Eén voor zichtbaar op het profiel en één voor het opzoekbaar zijn. Alleen de eerste kon destijds op "alleen ik" gezet worden.
Mijn telefoonnummer staat er ook tussen, terwijl deze nooit publiek op facebook heeft gestaan..

Scrapen my ass, dit was een lek.
Was die wel altijd privé of enkel zichtbaar voor vrienden?
Het kan goed zijn dat die op privé stond. Want dat is niet hoe ze er aan zijn geraakt.

Mijn nummer is ook gelekt. Ik heb ze nooit (bewust) toestemming gegeven om dit met eender wie te delen, maar ik moest het wel ingeven voor de "veiligheid" van mijn account. Als je dan nu gaat graven in de settings, dan staat er inderdaad iets aangevinkt dat "mensen mij kunnen vinden via mijn telefoonnummer".

Ik denk niet dat ik dat ooit heb aan gezet. Het kan zijn van wel, maar ik herinner me het alleszins niet. Maar hoe dan ook, dat is een feature zodat mensen die je nummer al hebben je makkelijk kunnen toevoegen. Waarom heeft dat prioriteit op mijn privacy instellingen? Als ik aangeef dat zelfs mijn vrienden mijn nummer niet zouden mogen zien (iedereen die het nodig heeft kan het gewoon vragen...), waarom zou ik dan wildvreemden willen toelaten van zowel mijn naam als nummer uit hun databank te plukken?

Scrapen gaat er van uit dat de informatie al publiek was, maar nu gewoon verzameld is in een makkelijke dataset. Dit lek gaf gewoon directe toegang tot een deel van hun database met een sub-optimale API. De privacy instellingen werden gewoon niet gerespecteerd, punt. Dat ze sneaky ooit via een omweg misschien toch toestemming hebben gekregen voor die feature neemt niet weg dat de meest recente instelling die het meest zichtbaar is gewoon genegeerd werd. Noem het wat je wilt, maar dit is gewoon onacceptabel. Je kan de schuld niet afschuiven op de letterlijk half miljard gebruikers. Als een half miljard mensen dezelfde fout maken, dan is dat de schuld van het systeem en niet van de mensen zelf.
Duidelijk! Ik snap goed wat je zegt. Ik dacht misschien is ooit een van je Facebook vrienden gehackt en die account heeft dan al zijn vrienden gescraped. Maar dat is dan uiteraard net weer anders dan publiekelijk toegankelijke informatie te verzamelen.
Het is een lek inderdaad, geen scrape.. want als het een scrape zou zijn, dan zou ik er tussen staan, wat niet het geval is. Dus het verbaast me dat ik er niet tussen sta.

Als het scraping zou zijn geweest, dan is het op de manier gegaan zoals Cambridge Analytica via games aan data is gekomen. Vrienden van vrienden, en zo verder.. dan kun je elke lek wel scraping noemen :+
Zijn ass of zijn telefoonnummer? Dat wordt niet duidelijk uit zijn bericht wat er nou gescraped werd :+
Maar is jouw telefoonnummer altijd jouw telefoonummer geweest ?

En er zijn twee instellingen. Eén voor wel of niet zichtbaar op het profiel en één voor wel of niet vindbaar zijn. Die tweede stond altijd op 'iedereen' en kon destijds niet op 'prive' worden gezet.
Waar vind ik die instelling voor wel of niet vindbaar zijn. Ik heb namelijk mijn telefoonnummer op 'alleen ik' staan (ik gebruik Facebook al tijden niet meer, maar nav de recente berichten heb ik mijn instellingen gechecked. Deze stond zeker ook al voor 2019 op 'alleen ik'), maar ik ben ook vindbaar in de database.

//edit
Heb de instelling gevonden en daar stond inderdaad op dat iedereen mij kon vinden op mijn telefoonnummer....

[Reactie gewijzigd door jswinkels op 20 april 2021 15:46]

Misschien toch eens bij je contacten na gaan, wie jij telefoon nummer aan facebook gegeven heeft.
Kan je ook direct vragen aan wie e het nog meer gegeven hebben.

Feit blijft, de gebruikers van dit platform hebben de fout gemaakt door jouw gegevens aan facebook te gegeven. En zeer waarschijnlijk ook voor een paar gratis spelletjes.
100% gelijk.

Echter als ik morgen alle Facebook usernames scrape met bijhorende publieke profielfoto, is het dan nog steeds een datalek? Voer voor discussie is het in ieder geval. Je kan rate-limiting enzo gaan toepassen, maar je wilt ook je API niet volledig dicht gooien voor tal van andere developers.
Datalek is mede vanwege deze verwarring de verkeerde term. De wettelijke definitie is als volgt:
personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;
Een inbreuk op de beveiliging kan ook een inbreuk zijn op het beveiligingsbeleid. Als Facebook scraping verbied in haar eigen voorwaarden en het gebeurt toch is dat een inbreuk op dat beleid, onafhankelijk van de technische waarborgen om het tegen te gaan. Afhankelijk voor de verwachte/mogelijke risico's voor de rechten van betrokkenen kan de inbreuk meldplichtig zijn aan de toezichhouder (DPC, onder art 33 AVG) en/of direct aan de betrokkenen (art. 34 AVG).

Facebook probeert de aandacht te richten op scraping. Scraping komt vaker voor en is lastig volledig tegen te gaan. Het feit dat er gescraped wordt is dan ook niet perse een overtreding van de beveiligingsvereisten (art. 32 AVG). Wat Facebook handig "vergeet" is dat juist voor dat normaliseren van wat er gebeurd is dat Facebook ook transparant moet zijn over wat er gebeurt. Achteraf doen alsof je het wilt normaliseren terwijl je je zelf niet transparant bent geweest en mogelijk zelfs niet aan de meldplicht hebt voldaan is op zijn zachtst gezegd een beetje hypocriet.
Inderdaad: die redenatie volgende is bulk-scraping een inbreuk en is het wat wij in de volksmond een data-lek noemen.

Wat Facebook ook handig vergeet in hun relaas is dat je je wel degelijk tegen bulk-scraping kunt wapenen, door bijv. het aantal profielen wat je per dag/week max op kunt vragen te limiteren tot een praktisch aantal. Door bij hoge frequentie van het inladen van verschillende profiel-pagina's verificatie middels een captcha te gaan vereisen. etc.

In deze is het standpunt dat Facebook in hun beveiliging tekort zijn geschoten als ze dat soort maatregelen niet genomen hebben, ook nog wel verdedigbaar.
Scraping kun je nooit tegen gaan, zelfde als dat recruiters via linkindin mijn profiel laten scrapen door een extensie die zij in de browser hebben.

Maar als jij iets in vertrouwen geeft dan moet daar ook vertrouwelijk mee om worden gegaan. Zo niet dan is dit een lek.

AKA als ik mijn nummer deel maar deze via de privacy settings op privé zet mogen deze niet onderwater wel door gegeven worden aan een frontend, die vervolgens de keuze heeft om deze dan niet weer te geven. Dan is de API niet secure dus lek.
Scraping kun je nooit tegen gaan, zelfde als dat recruiters via linkindin mijn profiel laten scrapen door een extensie die zij in de browser hebben.
Oh dat is er juist één waar je wel wat tegen kunt doen. Zakelijke gebruikers zoals recruiters mogen vziw vanuit de algemene voorwaaren van LinkedIn niet de publiek beschikbare LinkedIn pagina's scrapen om contact met je op te nemen. Ze moeten vai de daarvoor bestemde APIs handelen die aangeven of je open staat voor het ontvangen van job offers.

Een heleboel doen dat inderdaad niet en misbruiken ook het direct-message systeem om bij je te komen hengelen. Waarschijnlijk kun je hen gewoon bij LinkedIn aangeven en zullen zij e.e.a. verder regelen. Zoals bijv. de gebruikersprofielen of bedrijfsprofielen die dit bij herhaling flikken een ban geven.
Maar dit is het probleem van scraping, het moment dat zij de algemene voorwaarden overtreden ben je al te laat, want dan zijn de gegevens al de deur uit, of het nou mocht of niet. Vandaar dat ik ook zei dat je hier niks tegen kan doen. De enige manier om dit te voorkomen is door de informatie nooit naar de client te sturen. Maarja als je helemaal niks stuurt is de pagina ook zo saai.
Maar als jij iets in vertrouwen geeft dan moet daar ook vertrouwelijk mee om worden gegaan. Zo niet dan is dit een lek.

AKA als ik mijn nummer deel maar deze via de privacy settings op privé zet mogen deze niet onderwater wel door gegeven worden aan een frontend, die vervolgens de keuze heeft om deze dan niet weer te geven. Dan is de API niet secure dus lek.
Vandaar dat ik het ook eens ben met je standpunt :)
Ja, dan is het nog steeds een datalek. Men heeft die data immers toch van jouw website af gehaald?
Waarom ben je niet beter met die data omgesprongen? Zoals het standaard privé maken profielfoto's zodat ze niet gescrapped kunnen worden.

Kijk, de meeste Facebook gebruikers zullen niet zo handig zijn met privacy (niet direct hun schuld, er zitten bijvoorbeeld ook veel ouderen tussen) dus is het jouw verantwoordelijkheid om die gebruikers te beschermen. Het feit dat je standaard alles open hebt staan kun je niet zomaar op de gebruiker afschuiven.
Op die manier kan je elke pageview wel onder een datalek schuiven. Websites hebben geen enkele andere functie dan data tonen namelijk.

Openbare informatie is openbaar, geen datalek. Ook niet wanneer je het in bulk scraped. Pas wanneer er niet openbare data beschikbaar komt, kan je praten over een datalek. En dat was volgens facebook dus niet zo.

[Reactie gewijzigd door Standeman op 20 april 2021 13:51]

Openbare informatie is openbaar, geen datalek. Ook niet wanneer je het in bulk scraped.
Dat hangt er vanaf. Het beoogde doel van de verwerking 'toon een webpagina' is om deze aan een mens te laten zien om te lezen. Niet om machinaal in bulk de data op die pagina's te laten exfiltreren.

In principe is dat een inbreuk en een onrechtmatige verwerking waar je tegen zou kunnen wapenen door het bijv. minder praktisch te maken: limiteer het aantal profielpagina's wat je per dag/week kunt bekijken tot max 100 of een andere realistische waarde. Begin bij het snel achteraan opvragen van verschillende profielen middels bijv. een captcha een bevestiging te vragen dat de bezoeker een mens is en geen machine, etc.

In die zin is het wellicht dus nog wel een data-lek te noemen als dit soort beveilingsmaatregelen mogelijk; niet genomen zijn; en het daardoor mogelijk was om op grote schaal misbruik van een site te maken door de data die er op staat in bulk te scrapen en te 'stelen.'

[Reactie gewijzigd door R4gnax op 20 april 2021 17:44]

Mijn punt is: De meeste facebook gebruikers beseffen niet eens dat al deze data openbaar staat. Dat is naar mijn mening niet goed te praten tenzij je privacy-by-design aan houdt. Dus opt-in om je gegevens openbaar te maken, niet opt-out.
Waarom noem je hier psecifiek ouderen? Alsof jongeren ook maar enig benul hebben van privacy?
Waar ik mij meer aan irriteer, is dat dit soort bedrijven allerlei meldingen/instellingen standaard openbaar mogen zetten. Mocht je dan toch eventueel de tijd nemen om eens naar je privacy settings te kijken, dan krijg je meestal meldingen als: "weet je zeker dat je deze instelling uit wilt zetten, je vrienden kunnen dan niks meer delen" etc. En niet een groen vinkje dat je goed met je privacy om gaat.

Maar ja zolang de overheid en AP het nog steeds niet voor elkaar krijgen om kleinere websites en bedrijven de regels op te laten volgen zoals:
  • Automatisch aanmelden nieuwsbrief
  • Automatisch aan laten staan van cookies van derden
  • Automatisch account aanmaken bij aankoop
  • Etc
Dan heb ik er een hard hoofd in. Het enige wat wij kunnen doen is mensen om ons heen informeren.
Bekend probleem inderdaad, vaak word er nog even ingespeeld op de emotie van de gebruiker om zijn keuze toch nog terug te draaien en wordt maar eenzijdig belicht met de consequenties.
Daar was ik dus al bang voor toen Facebook steeds om mijn telefoon nummer bleef vragen. Ik kon toen al aan mijn water aanvoelen dat al die privacy instellingen 1 grote wassen neus waren.

Daarom nooit mijn 06 nummer opgegeven en dat hele platform altijd als 1 grote open marktplaats van data gezien voor degene die daar maar al te graag voor willen betalen :)
Wat heeft dat met het normaliseren te maken? Ik lees facebook (in de memo) niet beweren dat het geen datalek zou zijn. Wat mij betreft is het een lek via scrapen, maar dat wil niet zeggen dat je daar niet duidelijk over hoeft te zijn wanneer het kan gebeuren.

Ik denk dat je normaliseren dus ook kan lezen als bewust maken dat scrapen in de huidige vorm, zelfs als je je gegevens alleen met familie, vrienden en kennisen wil delen, een hoe dan ook bestaand risico is. Die kunnen namelijk net zo goed besmet raken waardoor malware hun adresboek en profieltoegang gebruikt om jou semi-geheime persoonsgegevens via facebook te krijgen. Doe dat bij honderdduizenden gebruikers, doe de gegevens bij elkaar en je hebt dezelfde dataset. Kan facebook daar iets aan doen zelfs als alle beveiliging goed werkt? Hooguit bijhouden wie er toegang tot die gegevens had, maar dat voorkomt scrapen niet.
Bij mij stond het telefoonnummer niet op prive in mijn settings. Ik weet niet of het bij de initiele registratie indertijd duidelijk was dat dat publiek zou komen, ik zou dat durven te betwijfelen, maar kan dat niet hard maken, is teveel jaren geleden.
Maar zelfs los daarvan, kijk eens hoe het zelfs nu nog geformuleerd is in de facebook settings: "Wie kan je zoeken met behulp van het telefoonnummer dat je hebt opgegeven?" met de opties "alleen ik", "vrienden", "vrienden van vrienden" of "iedereen". Als je dat leest, dan gaat iedereen ervan uit dat het gaat om bijvoorbeeld de zoekbalk in facebook waarmee je iemand kan opzoeken.
Als iemand mijn telefoonnummer al kent, dan mag hij gerust van mij mijn facebook profiel aan de hand daarvan opzoeken.
Ik denk niet dat het normaal is om dat te interpreteren als "we zijn zo idioot om zonder limitatie toe te laten dat iemand miljoenen requests kan doen met een bruteforcing van alle telefoonnummer cijfer combinaties om bijna iedereen zijn telefoonnummer te achterhalen". Dat is ofwel met kwaad opzet het verkeerd formuleren, ofwel incompetentie, en beide mogelijkheden dienen bestraft te worden als een datalek.

[Reactie gewijzigd door Neverwinterx op 20 april 2021 16:08]

Nadat het nieuws bekend werd. Ik de database zelf heb gedownload en heb kunnen verifieren dat ik inderdaad één van de 533 miljoen mensen ben waar de persoonsgegegevens inclusief mobiele nummer van zijn uitgelekt... Heb ik direct een melding gedaan bij Facebook zelf en ook de Autoriteit Persoonsgegevens ingelicht. Van Facebook kreeg ik onlangs onderstaande reactie terug:
Hallo,

Bedankt voor uw vraag. We zijn van oordeel dat de gegevens in kwestie vóór september 2019 uit Facebook-profielen van mensen door kwaadwillenden zijn gescraped met behulp van onze importfunctie voor contacten. Deze functie is ontwikkeld om mensen te helpen met behulp van hun contactenlijsten gemakkelijk hun vrienden te vinden met wie zij zich willen verbinden op onze services.

Toen wij ons in 2019 bewust werden van hoe kwaadwillenden deze functie gebruikten, hebben we wijzigingen aangebracht aan de importfunctie voor contacten. In dit geval hebben we deze bijgewerkt om te voorkomen dat kwaadwillenden software gebruiken om onze app te imiteren en een grote set telefoonnummers te uploaden om te zien welke overeenkwamen met Facebook-gebruikers. Via de vorige functionaliteit waren ze in staat een set gebruikersprofielen op te vragen en een beperkte set informatie te verkrijgen uit de publieke profielen van deze gebruikers. De informatie omvatte geen financiële gegevens, gezondheidsgegevens of wachtwoorden.

Met vriendelijke groet, Het team van Facebook
Het mogen duidelijk zijn dat uit de standaard-reactie van Facebook naar mij en waarschijnlijk ook andere gedupeerdere geen enkel besef van de ernst van de situatie toont. Het is maar ''een beperkte set informatie'' en ''hebben we wijzigingen aangebracht''. Het is precies de boodschap die dit artikel ook aanhaalt... Normaliseren! Allemaal leuk en aardig maar als zo ontzettend veel gegevens op straat komen te liggen, dan licht je pro-actief je gebruikers in.

Privé gegevens die zijn afgeschermd voor bezoekers maar toch inzichtelijk en onbeperkt zijn op te vragen via een API is de definitie van een lek. De situatie is niet normaal. Stop deze megalomane tech-bedrijven die zulk bizar gedachtegoed proberen te verspreiden. Ik hoop oprecht dat het AP flinke tikken gaat uitdelen en de EU eindelijk eens optreedt. Er is overduidelijk nieuwe regelgeving nodig, ik wil niet weten waar we anders over tien jaar staan met onze digitale rechten (en plichten).

[Reactie gewijzigd door Blackboard op 20 april 2021 16:12]

/even flauw doen

Volgens de AVG heb ik het recht om in te zien welke gegevens JIJ van MIJ hebt.
Hierbij dus een inzage verzoek!


Dit is natuurlijk een eer flauw verzoek van mij, maar je hebt je nu wel als verwerker van gegevens kenbaar gemaakt ;)
Kijk voor de grap ook even naar artikel 14 van de AVG.
:)
https://www.privacy-regul...zijn-verkregen-EU-AVG.htm

@Blackboard Zou mij dus de contact gegevens van de verwerkingsverantwoordelijke kunnen gegeven en o.a. kunnen aangeven hoelang hij/zij deze gegevens bewaard.

Mijn opmerking, was zoals gemeld flauw, maar ondertussen hebben al deze "onderzoekers" meer gegevens over mij, dan Facebook. Doordat ze in bezit zijn van verschillende gelekte data sets.
En Joost mag weten wat ze er mee doen.
Wat voor punt probeer je nou te maken? Als een journalist zijn/haar werk niet meer kan doen dan kunnen we de media net zo goed opheffen. Zou FB gewoon normaal met data omgegaan zijn, dan hadden de journalisten deze data nu ook niet in hun handen.
Het is toch voor de zotte dat FB zo omgaat met die data. Facebook had gewoon per direct alle privacy settings van dit soort gegevens van iedereen waarbij die op publiek staat op friends-only moeten zetten.

Hebben mensen het al op friends-only of privaat staat niet aanpassen. Men moet er alles aan doen om scrappen moeilijk te maken. Laat mensen maar bewust alles op publiek zetten in plaats van andersom en dat niet via 1 druk op de knop maar data voor data.

Mijn telefoonnummer is gelekt, terwijl die nooit op publiek heeft gestaan.
Er zijn genoeg dataverzamelaars die ook al deze gegevens van jou hebben, en die gegarandeerd frauduleuze intenties hebben met die data. Is het dan niet fijn om te weten dat er in ieder geval inzichtelijk is welke data van jou op straat ligt zodat je je daartegen kunt wapenen? Het is een kwestie van tijd voor iemand een keer iets met die info gaat doen.

Sterker nog, ik wou dat er een manier was om er op een legitieme en veilige manier achter te komen welke informatie precies van mij bekend is, in een compleet en overzichtelijk lijstje, zodat ik precies weet waarmee ik opgelicht kan worden. (dat is natuurlijk spelen met vuur.. maar ik hoop dat je snapt wat ik bedoel)
Helaas, de AVG is niet van toepassing als je data verwerkt voor puur persoonlijk gebruik.
De AP:
De Verordening is niet van toepassing op verwerkingen in het kader van zuiver persoonlijke of
huishoudelijke activiteiten. Er is sprake van zuiver persoonlijke of huishoudelijke activiteiten wanneer u
persoonsgegevens alleen voor uw privédoelen gebruikt en dit gebruik niet samenhangt met zakelijke
activiteiten.
Ik denk dat dit soort databases downloaden en doorzoeken geen zuiver persoonlijke activiteit meer is.

Edit: Onderbouwing achterwege gelaten omdat ik dacht dat het voor de hand zou liggen. Onderbouwing staat een paar reacties hieronder. TLDR: De handleiding van de Rijksoverheid mist op dit punt wat nuance en de opstellers hebben dit soort verwerkingen niet voorzien vermoed ik.

[Reactie gewijzigd door Floort op 20 april 2021 15:25]

De quote waarop je reageert geeft anders erg duidelijk aan dat de database downloaden om te zoeken of je eigen gegevens erin gelekt zijn, wel een persoonlijke activiteit betreft.
Volgens @Blackboard verwerkt hij/zij ook de gegevens van 532999999 andere betrokkenen. Dan mag het doel wel persoonlijk zijn, maar of de activiteit dan nog zuiver persoonlijk is durf ik te betwijfelen. Het lijkt mij sterk dat @Blackboard een persoonlijke relatie heeft met het merendeel van alle betrokkenen. Ik zie de noodzaak wel om zo'n verwerking te doen, tot op zekere hoogte. Maar die noodzaak wordt vooral gecreëerd door Facebook die weigert de getroffen betrokkenen direct te informeren. Wat mij betreft dan ook geen moreel oordeel voor het opzoeken van jezelf in gelekte data, maar ik denk wel dat het begrip "zuiver persoonlijke activiteit" wel erg wordt opgerekt.

Edit: een ongemakkelijk voorbeeld omdat de AP de argumentatie niet expliciet benoemd, maar in de context van cameratoezicht door privé-personen heeft de AP wat meer normuitleg gegeven. Ik maak op uit het standpunt van de AP dat wanneer je behalve je eigen erf, ook de openbare weg of een huis van de buren filmt dat de AVG weldegelijk van toepassing is. Dit lijkt me ook logisch omdat de verwerking meer omvat dan alleen betrokkenen waar je ook een persoonlijke relatie mee hebt of die binnen de huishoudelijke kring vallen. De handleiding van de Rijksoverheid mist die nuance. https://autoriteitpersoon...-bij-huis-en-bij-de-buren

[Reactie gewijzigd door Floort op 20 april 2021 14:56]

dat geldt misschien zolang je daadwerkelijk aan het zoeken bent maar:

in welke mate geldt dat bijvoorbeeld nog als jij die database naar jouw persoonlijke gcloud dir pompt, of je icloud of je ... backblaze of... of ... bovendien vervalt die grond op het moment dat je A: jezelf niet gevonden hebt (direct data vernietigen) of B: jezelf wel gevonden hebt ... misschien kun je dank nog wel proberen de database in handen te houden omwille van beweislast. maar ook daar hangen haken en ogen aan.

Is het wel wenselijk dat een prive-persoontje met prive-beveiliging en prive-kennis (doorgaans), zoveel 'gevoelige' data in handen heeft.
Denk je dat @Blackboard de enige privé persoon is die dit heeft kunnen doen? De database ligt op straat, en ik vind dan dat welwillende individuen zonder enige obstructie moeten kunnen doen wat zij nodig achten met die data, zolang dit geen *schade* toe kan brengen aan andere betrokkenen. Zo is namelijk ook de website ontstaan die controleert of je telefoonnummer erin staat, en andere diensten die het web een stukje veiliger maken na dit soort incidenten. Als dit streng wordt gereguleerd dan zullen de goeden eronder lijden terwijl de kwaden toch al wel doen wat ze willen met die data.
Dat moet ik dan maar aannemen...
Normaliseren kan ik in het artikel op twee manieren lezen:
Duidelijk zijn dat scrapen kan gebeuren (er valt nauwelijks te voorkomen dat kleine beetjes gegevens een grote dataset worden).
Duidelijk zijn dat facebook wil dat we het lekken via scrapen maar normaal zouden moeten vinden.

Dat laatste lijkt me onredelijk. We hebben niet voor niets wetgeving die delen van andermans persoonsgegevens omdat het kan strafbaar stelt.

Het eerste lijkt me te normaliseren zoals altijd gebeurt: bewust zijn dat als anderen bij jou persoonsgegevens kunnen het mogelijk verkeerd gebruikt kan worden.

Zolang we net doen alsof het kunnen scrapen dus maar zou betekenen dat dit moest kunnen en het bedrijf dat toe liet zonder te weten wie er aan het scrapen was en de scraper aan te laten tonen werkelijk zorgvuldig met de gegevens om te gaan denk ik dat facebook en de gebruikers erg makkelijk met persoonsgegevens om laten gaan.
Zoals je kan lezen heeft facebook de verwachting gewekt dat je als gebruiker niet met iedereen je gegevens hoeft te delen en daar keuzes in kan maken. Deelnemen op social media of welke andere commerciele verwerking dan ook wil niet zomaar zeggen dat je je gegevens maar met iedereen zou delen of dat iedereen erbij moet kunnen.
Op zn allerminst een kleine doch belangrijke nuance:

Ik heb m'n gegevens op Facebook gezet om het te delen met MIJN hele wereld. Niet letterlijk de hele wereld.

En dat is ook hoe ze het presenteren uiteraard, maar dan met dubbelzinnige woordspelingen zodat je niet omgekeerd wel geen machtinging het ont-ingetrokken om het te geven :)

(en ik heb dan al mn gegevens weer weggehaald toen ik echt doorhad wat ik aan het doen was)

[Reactie gewijzigd door Martijn.C.V op 20 april 2021 16:25]

Alleszins niet mijn gsm nummer, dat enkel vereist is voor 2FA, en waarbij ik expliciet heb aangeduid dat het voor niemand zichtbaar mocht zijn.
Dat bedrijven groot zijn is an zich geen probleem, echter wanneer partijen in de fout gaan zij het privaat of publiekelijk, dient de overheid hier een zaak van te maken. En dat is eigenlijk het trieste aan dit, ondanks een half miljard gedupeerde is tot op heden nog geen overheid die stappen heeft gezet om FB te straffen of op z'n minst aanspreekt dat dit echt niet kan. Zelfs inzicht dat we weten dat dit niet weer gebeurd blijft uit. Dit is niet alleen een totaal falen van FB, maar ook van onze volksvertegenwoordigers die maar wat stil blijven.
Mijn gegevens zitten er ook tussen, maar ik denk er anders over.
Er was een tijd voor AVG en privacy regels en daarmee ook de implementatie binnen Facebook zijn steeds strenger geworden. Dus het is logisch dat er nog meer ellende uit het verleden komt, want toen dachten we er gewoon minder makkelijk over. Door al deze "lekken" ga je in de toekomst voorzichtiger om en bedenk je nog een keer of deze website die informatie wel echt nodig heeft. Maar in het verleden dacht ik er zelf ook veel makkelijker over. Facebook heeft vanaf het begin mijn nummer gehad, ook zonder 2-factor. In een tijd dat callcenters in India met VOIP alleen nog maar tot grote tech bedrijven behoorde en niet tot scammers.
Een simpele Nederlandse website verliest dezelfde of meer gegevens, zo liggen via allekabels mijn gegevens OOK op straat. Alleen deze website gaat er enorm klunzig mee om en dat zijn écht een stelletje amateurs. Ik voel mij veiliger bij Facebook, Google en Apple dan bij allekabels, GGD en Ticketcounter.
Je kan geen wet maken op basis van gevoel. Persoonlijk vind ik dat Facebook nog steeds zijn taak moet vervullen ondanks dat het 2 jaar terug is, data verjaart niet zo snel. Die 530 miljoen telefoonnummers zijn nog steeds in gebruik. Ik vind dat Facebook ACTIEF moet meewerken om verspreiding van deze gegevens tegen te voorkomen. Zij waren opdat moment verantwoordelijk, dat betekend ook dat je die verantwoordelijkheid moet nemen. Als je dit niet kunt / wilt als bedrijf en verschuilt achter droogredenen, dan ben je in mijn ogen niet te vertrouwen.
Ik voel mij veiliger bij Facebook, Google en Apple dan bij allekabels, GGD en Ticketcounter.
en onterecht naar nu blijkt |:( Dat er niemand heeft nagedacht over dat een miljard telnummers invoeren om vriendschapsverzoeken te sturen misschien een beetje overkill is?

Je argumenten gaan misschien op voor een periode: 1995 - 2005 of zelfs 2010
maar zeker niet voor 2015 - 2018/2021

Ver voor 2015 wisten 'we' al wet dat online-security een ding is.
Precies wat ik zeg, mijn account is uit 2010 en toen dacht ik dat mijn telefoonnummer etc... allemaal publieke informatie was. Ik wou juist gevonden worden door mensen die ik ken, Facebook was de manier om contact te houden met oud klasgenoten en collega's.
Bij die websites die allemaal wel recentelijk gehacked zijn verwacht je dat die informatie niet publiek is, en deze websites hebben ook allemaal betaalinformatie.
Dus het is logisch dat er nog meer ellende uit het verleden komt, want toen dachten we er gewoon minder makkelijk over.
Voor zover mensen er toen makkelijker over dachten (wat ik sterk bestrijd), is dat alleen omdat de schaal van de lekken in 'het begin' ook kleiner was, voor zover de lekken in 'het begin' al publiek waren.
Privé gegevens die zijn afgeschermd voor bezoekers maar toch inzichtelijk en onbeperkt zijn op te vragen via een API is de definitie van een lek. De situatie is niet normaal.
Precies, ook ik sta erin terwijl mijn nummer expliciet als niet doorzoekbaar was opgegeven. Dat is gewoon een lek. Dat openbare data gescraped kan worden is normaal, maar dit was niet openbaar. Facebook probeert de media die er geen verstand van heeft er wel van te overtuigen.
In 2019 was er nog geen opt-out voor de opzoekbaar instelling. Het was alleen 'iedereen', 'vrienden' of 'vrienden van vrienden'. Waardoor jij vindbaar was voor iedereen met jouw telefoonnummer in zijn of haar contactlijst.

Zie onder meer dit artikel in Techcrunch van maart 2019.

[Reactie gewijzigd door strafschop op 20 april 2021 16:48]

Ik heb een veel oudere instelling, welke niet meer beschikbaar was maar wel nog werkte (tot zover). Ik was helemaal niet opzoekbaar, ook niet op naam. Werkt nu nog steeds, je kan me niet zoeken op naam.

Veel privacy opties verwijderen ze. Zo was het eerder ook mogelijk om messenger voor niet-vrienden uit te zetten. Nu kan dat niet meer, voor mensen die het eerder op uit hadden gezet staat het nog wel gewoon op uit.

[Reactie gewijzigd door HakanX op 20 april 2021 18:41]

"who can look you up using the email address or phone number you provided" is aanwezig sinds minimaal 2012.
Volledig eens.

Mijn gsm nummer komt ook in de database voor; de enige reden dat ik dit nummer aan Facebook heb meegedeeld is voor 2F authorisatie. Het is dan ook absoluut onmogelijk om als normale gebruiker via mijn facebook site mijn gsm nummer terug te vinden.

1) klopt het dan dat scrapers méér te zien kunnen krijgen dan reguliere gebruikers?
2) Valt een GSM onder persoonsgebonden informatie, onderhevig aan GDPR, en is het dan niet mogelijk dat elk van deze 533M gebruikers Facebook aanklaagt voor de rechtbank?
Het tweede sowieso. Een telefoonnummer is zeker een tot een persoon te herleiden persoonsgegeven.
Ben wel benieuwd waar je de melding bij FB hebt gedaan? Heb net een uur lang zitten zoeken maar kan enkel een video/foto of post melden die inbreuk op de privacy maakt, niets over FB in het algemeen. Melden bij de AP kan niet zolang de klacht ook niet aan FB is gemeld.
Uiteraard zitten mijn gegevens er ook tussen en hoewel het waarschijnlijk toch niets gaat uitmaken wil ik toch maar een melding doen.
"We denken dat het belangrijk is om dit te benoemen als een probleem dat hoort bij de sector en dat we het regelmatig voorkomen ervan als normaal gaan behandelen”
He? Hier viel mijn mond echt van open. Hoe kun je dit nou beweren?

Zijn deze mensen nou echt zo mentaal ontregeld dat ze dit echt durven? Facebook. Je hebt onze data gewoon gelekt. Die telefoonnummers zijn je gegeven voor bepaalde doeleinden. Ik heb mijn telefoonnummer ooit gegeven voor 2FA. Daarmee vertrouw ik er op dat jullie dat nummer gebruiken voor 2FA en niks anders. Dus publiek absoluut niet vindbaar via wat voor API dan ook. Scraping is geen hacken nee, maar het dusdanig ruk maken van je API zodat die data wel beschiklbaar is voor partijen die er niets mee te maken hebben is en blijft gewoon een dataLEK. Het is niet dat als je het vrijwillig op tafel legt (en dus geen hack) dat het dan geen lek meer is.
Zo gek is het toch niet dat de data die iedereen vrijwillig openbaar maakt, een keer door iemand uit het publieke domein wordt verzamelt en verwerkt? Dat is een normaal gevolg van het feit dat als deze social media gebruikers het normaal zijn gaan vinden om dit soort gegevens publiek te maken. Dat heeft niets met Hacken te maken. Scraping wordt al jaren gedaan voor marktonderzoek en andere analyses. De basis voor datamining en ook voor business intelligence. Dus wat is hier zo raar aan, wat is hier niet legaal aan en waarom reageren zoveel mensen verbolgen over het feit dat dit gebeurd?
Zo gek is het toch niet dat de data die iedereen vrijwillig openbaar maakt
En dat is dus het punt. Die data is niet vrijwillig openbaar gemaakt. Ik heb mijn telefoonnummer aan FB gegeven voor 2FA, niet om te delen met anderen. Dit had dus niet te scrapen moeten zijn aangezien dat een interne aangelegenheid is.
Dus wat is hier zo raar aan, wat is hier niet legaal aan en waarom reageren zoveel mensen verbolgen over het feit dat dit gebeurd
Omdat er dus nooit akkoord is gegaan met openbaarmaking. Het punt is niet dat er publieke info gescraped wordt (want ja duh!), maar dat er informatie gescraped kon worden die niet publiek had moeten zijn.
Ja dat is waar, ik wist niet dat er telefoonnummers in stonden van mensen die kenbaar hadden gemaakt dat ze die niet openbaar wilden maken. Dan is er sprake van een datalek....
Tja - nu begint het gewauwel idd. Onder de noemer van normaliseren...

Data weggeven/verkopen is geen data-lek...
Als je het via een API beschikbaar stelt heb je geen hack nodig...

Bottom-line: je gegevens zijn verkwanseld.

Maar zodra we dan over boetes gaan praten dan moet redelijkheid worden meegewogen. Maar waarom is dat eigenlijk? Dat lijkt altijd te gebeuren als een grote -rijke! - boef moet worden veroordeeld.
Even vertaalt van Facebooktaal naar gezondverstandtaal;

"Omdat wij (ogenschijnlijk) meer gaan doen tegen datalekken e.d. is het niet zo erg als het af en toe toch misgaat. Iets dat vaker gebeurd is normaal. En iets wat normaal is is nooit erg.
Kritiek op ons komt gewoon van haters en complotdenkers.

ps. accepteer graag deze nieuwe voorwaarden"
Mijn telefoonnummer is deel van het lek.
Hierover heb ik bij Facebook een klacht ingediend, en het volgende teruggekregen:
Hi,

Thanks for your question. The data was scraped in violation of our terms. We have teams across the company working to detect and stop these behaviors.

We’re focused on protecting people’s data by working to get this data set taken down and will continue to aggressively go after malicious actors who misuse our tools wherever possible. While we can’t always prevent data sets like these from recirculating or new ones from appearing, we have a dedicated team focused on this work.

While we addressed the issue identified in 2019, it’s always good for everyone to make sure that their settings align with what they want to be sharing publicly. In this case, updating the “How People Find and Contact You” control could be helpful.

We also recommend people do regular Privacy Checkups to make sure that their settings are in the right place, including who can see certain information on their profile and enabling two-factor authentication.

Learn more about Privacy Checkup from the Facebook Help Center:

https://www.facebook.com/help/443357099140264?ref=cr

Thanks,

The Facebook Team
Oftewel: Facebook blijft zijn schouders ophalen ("oeps, dit kan gebeuren"), en de verantwoordelijkheid bij gebruikers leggen. Dat het bedrijf zelf ook maar enige schuld of verantwoordelijkheid erkent zit er dus niet in.

[Reactie gewijzigd door Ghost Dog op 20 april 2021 14:19]

Voor mensen wiens telefoonnummer (net als bij mij) is uitgelekt, raadt ik aan om de class action lawsuit te joinen, dit kan hier: https://www.digitalrights.ie/facebook/

Het gaat hier wel degelijk om een datalek, en niet om het "scrapen" van publieke informatie. De telefoonnummers die uitgelekt zijn stonden namelijk in de meeste gevallen ingesteld als privé, met dingen als account recovery in het geval van een vergeten wachtwoord als doel. Het feit dat dit niet gemeldt is aan gebruikers toont gewoon grote negligence aan, en dit mag dan ook zwaar beboet worden. Een bug kan gebeuren, maar ze hebben zelf de beslissing gemaakt gebruikers niet hierover te informeren zoals de wet hen verplicht te doen.

Ik ontvang trouwens al dagen lang meerdere robot calls per dag op mijn uitgelekte telefoonnummer.
Een bug kan gebeuren
Ook bugs die gevolgen hebben voor de privacy, vind ik onacceptabel.
De beste manier om dat te voorkomen is dat de hele digitale keten van A tot Z Open Source is (incl. firmware en embedded software; dus incl. de software in chips in je PC), zodat iedereen inzage heeft en de fouten er uit kan halen, en dat je niet stiekum privacy-foute zaken kunt inbouwen.
Met het normaliseren van lekken zijn ze al een aantal jaar bezig....

Ik kijk er in ieder geval niet meer van op als Facebook en datalek in één zin voorkomen.,
Eens, dit leest een beetje als ''Wij lekken zo regelmatig data; jullie moeten het maar accepteren''.
Ik snap dat het regelmatig gebeurd maar dit is absoluut niet iets wat we maar moeten accepteren, data van personen moet in hoogste uiterste zorg beschermd worden en flink bestraft worden als het misgaat en dit komt over als een lakse houding om er maar overal onder uit te komen met ''oops, shit happens''.
De originele betekening van 'hack' is iets gebruiken zoals het niet bedoeld is. Is het scrape-baar maken van zoveel gegevens gebruik zoals het bedoeld is? Nee! Dus is het dan een hack: ja!
Dat was inderdaad de bedoeling dus geen hack, het doorverkopen was niet de bedoeling, maar dat betekent niet dat het een hack was.
De originele betekening van 'hack' is iets gebruiken zoals het niet bedoeld is.
Tikkie off-topic maar nee. Volgens Wikipedia:
Originally, hacker simply meant advanced computer technology enthusiast (both hardware and software) and adherent of programming subculture; see hacker culture.
En volgens Gizmodo is Konrad Zuse "arguably the very first computer hacker" omdat hij de eerste programmeerbare computer bouwde.

Ook heb je bijv. kernel hackers (waaronder Linus Torvalds).

[Reactie gewijzigd door ErikvanStraten op 20 april 2021 14:26]

Wel een oprechte vraag aan veel mensen hierboven, met gelekte informatie.

Jullie hebben intussen toch wel jullie account gedelete?
https://www.howtogeek.com...te-your-facebook-account/

Want als er 1 ding duidelijk is, dan is het dat Facebook geen snars, maar dan ook geen snars zich interesseert voor jouw privacy, of de wet, en zelfs als je alleen maar gebruikt om je oma te volgen, dat ze elke kruimel aan data die je ze toewerpt zullen kapotanalyseren?

Zelf heb ik nooit een Facebook account gehad, maar ongetwijfeld een schaduwprofiel, omdat Facebook *ook* mensen trackt die niet op Facebook zitten!

Helaas ben ik nog wel druk doende om van WhatsApp af te komen...

[Reactie gewijzigd door Keypunchie op 20 april 2021 14:48]

Helaas ben ik nog wel druk doende om van WhatsApp af te komen...
Dat gaat vanzelf. Ik ben niet van plan om de voorwaarden te accepteren. Dus jammer dan.
Als je Apps niet wilt accepteren vanwege bedenkelijke voorwaarden, blijven er héél weinig Apps over...
Het punt is dat de voorwaarden al niet deugen, omdat toezichthouders toch veel te weinig mankracht hebben om de bedrijven aan te pakken, voor zover de politiek (lees: de kiezers) al wilen dat de bedrijven in dezen worden aangepakt. We stemmen gemiddeld liever op rechtse partijen (lees: die vinden welvaart belangrijker dan privacy) dan op linkse partijen (lees: die vinden privacy belangrijker dan welvaart. Terecht, want het gaat om welzijn; niet om welvaart).
In mijn optiek kun je dus beter wel een account aanmaken zodat je iets meer controle hebt over je “schaduw profiel”, uiteraard het account vullen met zo min mogelijk info over jezelf.
Als ik het niet bij het goede eind heb corrigeer me dan aub, maar het gaat toch om publiek toegankelijke data die is gescraped?

Ik bedoel als je je telefoonnummer in een online telefoonboek laat opnemen dan kies je er toch voor dat iedereen dat kan opzoeken of via scraping kan verzamelen en bundelen.
Ik kan me voorstellen dat het scrapen juridisch misschien niet helemaal in de haak is, maar om daar nou het online telefoonboek voor aan te pakken.

Of mis ik iets?
Als ik de reacties lees zijn ook gegevens gescraped die voor niemand anders dan de eigenaar van het profiel toegankelijk waren.
Zoals telefoon nummers die alleen gebruikt werden voor 2FA, en niet gedeeld zijn met iemand anders.

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True