Facebook lekte privégegevens gebruikers

In korte tijd heeft Facebook twee keer met grote gegevenslekken te kampen gehad. Vrienden konden elkaars chats lezen en vriendenverzoeken bekijken; vreemden konden afgeschermde foto's opvragen door een hack toe te passen.

Failbook Woensdag meldde weblog TechCrunch dat het via een eenvoudig trucje mogelijk was om vriendenverzoeken en live-chats van vrienden te bekijken. Dat kon door een functie te gebruiken die juist is bedoeld om Facebook-gebruikers duidelijkheid te geven over de hoeveelheid informatie die ze delen.

Internetters kunnen bij die tool de naam van een vriend invoeren, om na te gaan hoe die persoon hun profiel ziet en welke informatie met diegene wordt gedeeld. Daarbij zagen ze echter ook de live-chats die de desbetreffende vrienden op dat moment voerden, evenals hun vriendenverzoeken, zo ontdekte het weblog. Na de publicatie van het TechCrunch-artikel is de chatfunctie op Facebook enige tijd uitgeschakeld geweest. Inmiddels lijkt de chatfunctie weer te werken en heeft Facebook laten weten dat de problemen zijn opgelost. Volgens Facebook was het trucje 'enige tijd' mogelijk.

Een ander lek lijkt inmiddels ook te zijn gedicht. Half maart meldde weblog Social Hacking dat het mogelijk was om privéfoto's van vreemden te bekijken. Door in de adresbalk van de browser een regel javascript-code te plakken, konden afgeschermde foto's worden bekeken. Daarmee werden de privacy-instellingen van gebruikers omzeild. Het is volgens de blogger mogelijk dat deze hack ook kon worden gebruikt om andere afgeschermde gegevens te bekijken.

Het lukte Tweakers.net niet om deze hack toe te passen; waarschijnlijk is deze inmiddels eveneens gedicht. Een Facebook-gebruikster, die anoniem wil blijven, zegt tegen Tweakers.net echter dat de hack eind vorige week nog was toe te passen. Daarmee heeft het minstens anderhalve maand geduurd voordat het lek was gedicht. Het is niet bekend of er met beide hacks misbruik is gepleegd.

In oktober werd bekend dat de Belgische versie van Facebook logins van verschillende gebruikers had verwisseld. Gebruikers die de mobiele site bezochten via de Belgische provider Mobistar, konden plotseling als iemand anders ingelogd staan. Facebook krijgt veel kritiek op zijn privacybeleid; vorige maand riep een Duitse consumentenorganisatie gebruikers nog op om de website te verlaten, omdat deze de privacy zou schenden. In augustus klaagden enkele gebruikers de site aan, omdat deze privacywetgeving zou overtreden.

IT-banen

Reacties (89)

Steffannnn 6 mei 2010 08:47

Door een simpel stukje JavaScript dingen kunnen zien die je normaal niet kan zien.. vind ik persoonlijk erg slecht.
En als het mogelijk is via een 'eenvoudig trucje' live chats van anderen te kunnen lezen, dan vraag ik me af waar de testers van Facebook mee bezig waren.

Laat Google nu net dit gelanceerd hebben:
http://tweakers.net/nieuw...n-websitebeveiliging.html misschien ook wel wat voor de programmeurs daar bij Facebook.

Ik snap best dat er fouten gemaakt worden door mensen, dat kan ook bijna niet anders. Bij dit soort websites moet beveiliging prioriteit nummero één hebben.

[Reactie gewijzigd door Steffannnn op 24 juli 2024 05:09]

namarae @Steffannnn • 6 mei 2010 09:09

Tja, een website als facebook is ook wel erg groot om alles goed te testen.
Misschien werkte de functie eerst wel goed. En zag je niet de live-chats en vriendenrequests. Maar werden later andere wijzigingen gedaan. Die weer tot gevolg hadden dat deze functies zichtbaar werden op de verkeerde plek.
Het is bijna onmogelijk om alles te testen op z'n website.

Maar ik wil het niet goed praten. Want dit zijn wel erg slordige dingen... En mensen plaatsen hier wel privé informatie (uiteraard moet je geen dingen online plaatsen waarvan je niet wil dat men het te weten komt...)

SuperDre

Hackers

@Steffannnn • 6 mei 2010 09:23

Laat Google nu net dit gelanceerd hebben:

wel een beetje hypocriet natuurlijk voor een bedrijf wat ook regelmatig te kampen heeft met privacy-lekken... Dus of je dan hun casestudy moet gebruiken?

Verwijderd @SuperDre • 6 mei 2010 10:36

Welke lekken?
Google staat alleen in kwaad daglicht door twijfelachtige policy, maar lekker systemen heb ik ze nog nooit op kunnen betrappen.

Steffannnn @Verwijderd • 6 mei 2010 10:58

Jij misschien niet, maar anderen zeker wel: http://www.google.nl/#hl=...rfai=&fp=f10e7884806f5f58

Verwijderd @Steffannnn • 6 mei 2010 12:26

Je kunt wel een google query hier neerplempen, maar dat betekent niets. Laten we eens kijken waar dat naartoe verwijst:

- Google Docs, dat was voor 0.05 procent een probleem, wat je kuunt zien als slecht.
- Google Buzz was per design, voor zover ik weet, maar daar waren wel een hoop gebruikers boos om.
- Google Chrome: elke andere browser bevat ook fouten. Hoewel het in theorie mogelijk is om een bug-vrije browser te maken, heeft niemand dit nog gedaan.

Dus het valt allemaal nog wel mee.

Facebook is zo lek als een mandje, omdat het op PHP is gebaseerd. De implementatie van PHP is zo ongelooflijk slecht dat het onmogelijk is om een veilig systeem te bouwen.

Steffannnn @Verwijderd • 6 mei 2010 14:17

Of PHP wel of niet lek is, daar laat ik me niet over uit, daar ging het niet over en dat het wel mee valt, daar ging het ook niet over. McKillem beweert dat hij Google niet heeft kunnen betrappen op lekke systemen en dat is dus niet waar. Met een paar simpele zoekopdrachten kom je namelijk gewoon berichten tegen over fouten/lekken in Gmail. Google Docs en XSS in Buzz. Het gaat hier misschien niet om zulke grote fouten als Facebook gemaakt heeft, maar Google maakt óók fouten.

Ik betwijfel trouwens of deze fouten ook maar IETS met de programmeer-/scripttaal te maken heeft. Oké, dat andere talen hier misschien beter op inspringen zou zo kunnen zijn, maar chats kunnen volgen en via JavaScript foto's wel kunnen zien, zijn ontwerp-/programmeerfouten, en geen fouten van de programmeer-/scripttaal waarin de applicatie geschreven is.

Verwijderd 6 mei 2010 08:26

Tsja, als je iets op internet zet, ga er dan maar vanuit dat het al openbaar is en op straat ligt, ook al zou het niet zo moeten zijn.

DexterBelgium @Verwijderd • 6 mei 2010 08:54

Al jouw bankgegevens staan óók op het internet (internetbankieren), evenals je belastingen (tax-on-web in België), en een belangrijk stuk van je privé-administratie.

Moet je ervan uitgaan dat die zaken ook openbaar zijn? Het is een beetje makkelijk in het adagium "servers met kritische gegevens nooit aan het internet gekoppeld zijn". Zo werkt de wereld niet meer, en Internet zou helemaal nooit zo nuttig kunnen worden als dit soort toepassingen niet mogelijk zijn (for starters zou alle internet betalingsverkeer onmogelijk worden).

Daarnaast biedt dat de serverbeheerders een gemakkelijke bliksemafleider: "het stond toch al op internet, als je iets hebt dat niemand mag weten, moet je het maar niet doen/op internet zetten". Dat ontwijkt het debat over HUN verantwoordelijkheid. Als zij er hun business van maken met dit soort gegevens om te gaan en daar hun geld mee te verdienen, moeten ze zich aan zeer strenge regels kunnen houden om dit soort bullshit te vermijden. Een bank die haar internetbankieren-systeem niet beveiligd krijgt, en een aantal incidenten daarmee meemaakt, mag van mij haar licentie verliezen (en zal dat waarschijnlijk nu reeds doen). Een sociale netwerksite die dit soort zever voor heeft mag een aantal stevige processen krijgen, zodat, als het een paar keer gebeurt, ze out of business gaan.

Het is niet omdat je privédata aan iemand toevertrouwt dat het geen privédata meer zijn. Dat blijft een belangrijk principe, wat google, facebook en anderen daar ook van denken. Nét in deze tijden, waar we doorhebben dat privacy geen absoluut punt is van "alles achter gesloten deuren houden" is dat belangrijk.

YopY @DexterBelgium • 6 mei 2010 09:18

Moet je ervan uitgaan dat die zaken ook openbaar zijn?

Dat kan. Als ik een trojan bij iemand installeer die screenshots maakt (bijvoorbeeld), kan ik zo zien hoeveel geld die heeft en waar hij het aan uit geeft. Als ik een router hack kan ik eenvoudig een neppe banksite neerzetten om zijn gegevens te jatten. En het is goed mogelijk dat er in de banksites ook nog fouten zijn waardoor je gelijk toegang kunt krijgen tot die sites - ook al is dat minder dan bij bijvoorbeeld Facebook.

Nu zijn dat overigens twee hele verschillende dingen. Bankzaken worden veel sneller aangemerkt als kritische informatie, terwijl Facebook dat niet is. Immers, het is een sociaal netwerk, waarop je jezelf presenteert - voor de hele wereld of slechts voor vrienden.

daar komt nog bij, op de banksite kun je je naaktfoto's niet neerzetten,

Het is niet omdat je privédata aan iemand toevertrouwt dat het geen privédata meer zijn.

Dat ligt aan de voorwaarden van de partij waar je het mee deelt. Facebook heeft hoogstwaarschijnlijk meerdere clausules in zijn voorwaarden waarin aangegeven staat dat privacy tot zover gewaarborgd wordt, met uitzondering van dit soort gevallen. Of misschien pleuren ze er gewoon keihard op 'Wat je erop zet kan iedereen zien'.

Privacy? Zet je rommel dan gewoon niet op internet, sim-pel. Geef je vrienden eens een belletje of, *gasp*, ga er eens op bezoek.

Zoijar @YopY • 6 mei 2010 10:12

Als iemand in je huis inbreekt kan hij ook camera's planten, of je pen vervangen door een met een microfoontje er in, of je telefoon hacken en zo de microfoon op afstand aanzetten, of door de ramen staan gluren, of je tas jatten op het station, of een telefoon tap. Als je privacy wilt moet je dus eerst een sensor sweep doen in je huis en dan in een faraday kooi in de kelder gaan zitten zonder ramen, anders moet je die rommel gewoon niet delen met mensen.

Beetje vergezocht soms; ik mag hopen dat niet alles wat ik over het internet verstuur op straat ligt. Als ik een ssl verbinding met iemand heb ga ik er gewoon van uit dat het redelijk veilig is. Zo mag je ook verwachten dat dit soort dingen redelijk veilig zijn. Natuurlijk heb je wel een punt dat het misschien niet slim is om je meest pikante naaktfoto's in een online album te stoppen. Aan de andere kant verwacht ik ook dat mijn email veilig is. Dat kan ook door zat mensen uitgelezen worden. Via de email kan je op het merendeel van de websites inloggen. Als bekend werd dat je bij gmail zo maar elkaars email kon lezen, is dat dat ook een kwestie van 'wie gebruikt er dan ook gmail voor prive communicatie'?

gnimmeL_kraD @Zoijar • 6 mei 2010 13:46

Als je standaard e-mail (SMTP) veilig vindt, dan mag je de RFC weleens gaan nalezen. SMTP is absoluut niet veilig!

RM-rf

Social networking

@DexterBelgium • 6 mei 2010 11:21

als het gaat over Facebook aankomen met:

Al jouw bankgegevens staan óók op het internet

is imho een beetje een geval van non-argumentatie die juist lang tekenend was voor de onzin die over 'de internets' verspreid werden door mensen die gebrek aan kennis erover hadden...

Punt is nu net dat waar mogelijk Facebook, dat heel specifiek gericht is op het 'delen' van informatie, en welke vervolgens een heel ingewikkeld 'rechtensysteem' ingebouwd heeft dat echter lang niet altijd werkt zoals ze het zelf 'beloven'...
niet vervolgens te vergelijken is met bv een website voor 'online banking' dat verder niet veel overeenkomsten heeft met Facebook anders 'dat dat óók een internet-website is, en via het internet bereikbaar is'...

Voor een zinnige discussie over privacy is het wél erg belangrijk dat men heel juist argumenteert en geen aanname's gaat doen welke vooral gebaseerd zijn op alle internet-sites op één grote hoop gooien van 'de serie buizen die het internet nu eenmaal zijn en waar alles doorheen gaat'.

gnimmeL_kraD @DexterBelgium • 6 mei 2010 09:11

Bankgegevens en belastingen zijn wel even van een ander kaliber dan je privé kiekjes delen op een site. Op de bankgegevens/belastingen heb je vaak ook geen invloed op dat ze op internet staan, maar privé dingen zet je er toch echt zelf op!

Dit is eigenlijk de hoofdreden waarom ik niet meedoe aan de hype van hyves/facebook/twitter/whatever.

2Dutch @gnimmeL_kraD • 6 mei 2010 09:42

Ben het met je eens. Allemaal leuk dat je dingen wilt delen, maar bepaalde zaken moet je of IRL delen of gewoon niet. Stel je voor dat je een pikant kiekje deelt met iemand en ineens ziet je hele familie em of al je vrienden, denk dat je dan snel het nut ziet van privé lekker privé houden

Sowieso vind ik die vriendensites vaak alleen maar kul met 400+ vrienden waarbij het merendeels volk is dat je nauwelijks kent. Het is zo oppervlakkig en nep allemaal en dan nog relatief "onveilig" ook..no thx

Grimmer @2Dutch • 6 mei 2010 10:56

Hmm, dan krijg je direct de vraag of je prive pc die aan internet hangt ook gezien mag worden als; "je plaatst het op internet"

Ik ben van mening van niet, en net als brieven die verkeerd bezorgd worden mag je het niet openen en of lezen.

gnimmeL_kraD @Grimmer • 6 mei 2010 13:44

Bewust je privé content plaatsen op een willekeurige site is wat anders dan "je privé PC op het internet aansluiten". Je standaard niets richting het internet ookal staat deze aangesloten.

SteroiD @2Dutch • 6 mei 2010 10:13

Wat iemand onder (online) "vriend" interpreteert, varieert van persoon tot persoon. Ik had het er overlaatst nog over met een aantal mensen, en kennelijk was ik de enige die regelmatig friend requests negeer op facebook. Vele mensen vinden het al goed genoeg als ze vaag weten dat de persoon, die hen probeert toe te voegen, bestaat (in de zin van, "ja, die ken ik van ziens"). 400 van dat soort kennissen kan gerust (en stuk meer ook zelfs), 400 vrienden, dat wil ik nog wel iemand zien doen (dan ben je toch wel full-time bezig met je sociaal leven lijkt mij).

Ik zet ook enkel dingen op facebook die door iedereen gezien mogen worden. En zo weinig mogelijk persoonlijke gegevens van mezelf (in wezen staat er enkel mijn naam en geboortedatum op).

Hiermee wil ik helemaal facebook niet vrijspreken, zij zouden in principe moeten garanderen dat de door hun beloofde privacy opties ook wel degelijk zo uitdraaien. Noem mij maar een pessimist op dat vlak, ik ga er gewoon van uit dat het altijd wel ergens fout loopt bij dat soort zaken.

piratepraat @gnimmeL_kraD • 6 mei 2010 16:52

Wat mij betreft zou iedereen gewoon mee kunnen en mogen doen aan hyves, facebook, twitter etc. Want, ik vind het eigenlijk niet meer dan normaal als er een functie bestaat dat je het niet wil delen met vreemden, het dan ook niet wordt gedeeld met vreemden. Gebeurt dit wel vind ik eigenlijk dat de fout niet bij jezelf ligt.

Je kiest er zelf voor dat je het op internet zet inderdaad, je zou ook gewoon slim kunnen kiezen wat je op internet zet. Tenminste van mij hoeven mensen ook niet al mijn foto's te zien. Maar zouden ze door een lek ze wel kunnen zien zit ik er nog niet mee.

Je moet gewoon verstandig zijn met wat je vermeld op het internet, maar ik vind ook dat je er wel van uit mag gaan dat iets veilig is.

Waarom zou je dus niet mee mogen/ willen doen aan zulke programma's.

hemiparo @Verwijderd • 6 mei 2010 08:40

Ondanks de flame van joey129 heb je wel gelijk. Het zou niet moeten kunnen maar het is helaas wel waar dat 'eenmaal online altijd online' redelijk klopt. Helaas heeft lang niet iedereen dit door... en eigenlijk zou dit ook beter beschemd moeten worden...

ravenamp @hemiparo • 6 mei 2010 09:39

Onzin, mensen moeten zelf gewoon beter realiseren waar en welke gegevens ze invullen en ZICHZELF beter beschermen. Hetzelfde met spam en virussen. Het is niet gek dat sommige mensen regelmatig virussen hebben of hun hele mailbox vol spam hebben staan.

Fireshade @ravenamp • 6 mei 2010 10:11

Dat is één. Ten tweede kun je ook gewoon even bellen met je vrienden. Maar niemand durft meer lijkt het. Alles moet maar via chat

Toegegeven, 'vreemden' bel je niet zomaar, maar met vreemden zou je ook geen 'risqué' gesprekken moeten voeren.

Verwijderd @Fireshade • 6 mei 2010 11:46

mensen moeten gewoon niet meer hacken dan werd:
Internet veilig
spellen weer goedkoop
muziek weer goedkoop
films weer goedkoop

en dan kan je :
al je informatie delen met vrienden zonder risico

en dan hoeft :
er geen miljoenen euro's in beveiliging te worden gestopt

perfect toch ?

mae-t.net @Verwijderd • 6 mei 2010 14:01

Jij moet meteen verhuizen naar Utopia

Probleem is een beetje dat zelfs als mensen niet hacken, dit soort fouten gewoon per ongeluk aan het licht komen! Dat is al erg genoeg om ze te willen verhelpen.

Ik zou dan ook willen stellen dat in Utopia geen hackers bestaan, maar ook geen software met fouten.

Het zou dus nog steeds veel geld kosten om alles te laten werken.

Hoewel... In Utopia is ook ongelimiteerd geld en mankracht beschikbaar, dus dat is geen enkel probleem.

Weet je niet waar Utopia ligt? Dan heb ik slecht nieuws. Ik ook niet.

♫ Maar ik heb getwijfeld over Belgie.. Belgie.. Bel-gie-je... ♫

[Reactie gewijzigd door mae-t.net op 24 juli 2024 05:09]

HoeZoWie @mae-t.net • 6 mei 2010 19:51

OffTopic:
Waar haal jij die '♫' karakter vandaan? Welke [Alt]-Code is dat? ♫

Edit: [Alt]+14

[Reactie gewijzigd door HoeZoWie op 24 juli 2024 05:09]

Verwijderd @Verwijderd • 6 mei 2010 12:00

Mensen moeten gewoon geen oorlog meer voeren.

Krijg ik hier ook pluspunten voor?

Verwijderd @Verwijderd • 6 mei 2010 12:16

lol er zijn zoveel dingen die mensen niet moeten doen.
Maar van mij krijg je een +1

maar even terug komend op het artikel.
Er het is wel kwalijk als er op deze manier privacy gevoelige gegevens gelekt worden.
Uiteindelijk ben je natuurlijk zelf verantwoordelijk voor wat je van je zelf op een profielen site zet maar het is wel een slechte zaak als afgeschermde fotos in handen van de verkeerde mensen kunnen vallen.

Vengeful @Verwijderd • 6 mei 2010 15:36

offtopic

hilarisch. Jij denkt dat spellen en muziek goedkoper worden zonder hacken? Beetje te idealistisch, niet? Muziek is trouwens niet zo duur, tenzij je het in nederland koopt. Cd's bij onze oosterburen zijn gemiddeld 5-10 euro goedkoper (incl. verzendkosten)

Hier in Nederland word niks goedkoper, ze proberen je enkel harder te naaien terwijl je erbij staat. Of kan iemand mij uitleggen waarom europeanen naast dat ze meer betalen op Steam, sinds kort ook weer meer betalen op Direct2Drive? Dat spellen downloaden via de EA shop in nederland duurder is dan naar de free record shop rijden en daar een boxed versie halen? Kan iemand me daar een plausibele verklaring voor geven die niet "Hey, laten we onze klanten maar leegzuigen, want die kunnen ons toch niks maken" is?

/offtopic

Ruuddie @Fireshade • 6 mei 2010 15:05

Ik chat veel liever dan dat ik bel. Niet omdat ik bang ben om te bellen, in tegendeel, maar het fijne van chatten is dat beide partijen kunnen reageren wanneer ze willen. Dus als je ondertussen met iets anders bezig bent, merkt de andere partij niet dat jij ze niet de volledige aandacht geeft. Dus voor gewoon kletsen, is chatten perfect.

Bellen doe ik eigenlijk alleen nog maar als ik echt iets te melden heb, en er iets afgesproken moet worden binnen enig tijdsbestek. Of als ik de betreffende persoon een tijdje niet gesproken heb, dan is bellen gewoon sneller om de hele verhalen uit te wisselen.

magician2000 @Ruuddie • 6 mei 2010 23:23

<quote>Dus als je ondertussen met iets anders bezig bent, </quote>
Als je ondertussen aan het telefoneren bent bijvoorbeeld

Frans G 6 mei 2010 10:32

Bij een sociaal netwerk weet je gewoon dat je kwetsbaar bent. Eigen schuld dikke bult.

Verwijderd @Frans G • 6 mei 2010 10:39

Wat is dat voor onzin? Van een profielsite die mijn data vergaart verwacht ik deugdelijke beveiliging. Helemaal van een gigant als Facebook.
Hoezo moet je "weten dat je kwetsbaar bent"?

dusti @Verwijderd • 6 mei 2010 11:07

dus, het is ok als zo'n site je data verkoopt maar het is niet ok als er een fout in de software zit waardoor iedereen in je profiel kan snuffelen?

Spheroid @dusti • 6 mei 2010 11:39

Ja, dat is ok; tenminste als je daar toestemming voor gegeven hebt. En dat doe je op facebook doordat je bij het gebruik van alle toepassingen toestemming moet geven voor die toepassing om je gegevens in te zien. Facebook wekt ook de indruk dat je de informatie die je aan bedrijven, andere websites enz beschikbaar stelt kunt controleren

Wanneer u een Facebook-toepassing of website bezoekt, kan deze toegang geven tot alle informatie die u zichtbaar heeft gemaakt voor iedereen (Profielprivacy bewerken), evenals uw publiekelijk beschikbare informatie. Dit omvat uw naam, Profiel Foto, Geslacht, Huidig Stad, Netwerken, Vrienden Lijst, en pagina's. De toepassing zal toestemming vragen om alle aanvullende informatie te gebruiken die hij nodig heeft.

Ook voor privepersonen stelt Facebook dat je kunt controleren wie wat kan over jou kan zien.

Doordat Facebook de indruk wekt dat je zelf goed kunt controleren wat privepersonen en bedrijven over je te weten kunnen komen is deze fout in de software is ernstig. Tenslotte zetten duizenden mensen informatie over henzelve op Facebook in de veronderstelling dat ze kunnen controleren wie dat ziet.

Het ontbreken van zulke controle kan ongewenste gevolgen hebben. Die gevolgen kunnen zelfs vrij ingrijpend zijn. Zo checken bijvoorbeeld potentiele werkgevers tegenwoordig vaak de profielen van jongeren op netwerksites:

Ongeveer een op de drie werkgevers heeft op sociale netwerksites informatie gevonden, waardoor ze een sollicitante hebben afgewezen, zo bleek onlangs uit Amerikaans onderzoek. Dan gaat het om onder meer ongepaste foto's, informatie over drank- en drugsgebruik en onfatsoenlijke uitspraken over voormalige werkgevers, collega's of klanten.

bron

Verder zijn er al mensen verkracht en vermoord waarbij de dader onder een alter ego het slachtoffer op facebook uitzocht. http://news.bbc.co.uk/2/hi/uk_news/england/wear/8556914.stm

Ook statusveranderingen mbt relaties hebben blijkbaar al tot doden geleid. http://news.bbc.co.uk/2/hi/7676285.stm

Dus ja, dit soort softwaregebreken zijn ernstig.

[Reactie gewijzigd door Spheroid op 24 juli 2024 05:09]

dusti @Spheroid • 6 mei 2010 12:07

Doordat Facebook de indruk wekt dat je zelf goed kunt controleren wat privepersonen en bedrijven over je te weten kunnen komen

En volgens mij ligt het probleem net daar, dat ze de INDRUK wekken dat, maar dat is niet zo, enerzijds zal je altijd de kans hebben dat er informatie lekt via bugs en security flaws, anderzijds doordat ze de informatie doorverkopen.
De gemiddelde gebruiker van Facebook heeft geen flauw benul wat er allemaal kan of niet en dan is het achteraf potjes lijmen.

HotFix 6 mei 2010 08:27

vorige maand riep een Duitse consumentenorganisatie gebruikers nog op om de website te verlaten, omdat deze de privacy zou schenden. In augustus klaagden enkele gebruikers de site aan, omdat deze privacywetgeving zou overtreden.

Het is een sociale website, alles wat je daarop zet komt gewoon op het internet te staan. Als er dan iets fout gaat en dat andere mensen het kunnen zien is vervelend, maar misschien moet je dan eens nagaan dat je niet alles op het internet kunt zetten

Haan @HotFix • 6 mei 2010 08:35

Maar die site bewaart ook privégegevens, die niet zomaar openbaar mogen worden, zoals bijvoorbeeld je echte e-mailadres. Jij hebt je hier op Tweakers.net ook geregistreerd, waarbij je zelf kan bepalen of je je e-mailadres aan andere gebruikers wilt tonen of niet. Als je er voor hebt gekozen om dat niet te doen, zou je het ook niet fijn vinden als opeens zou blijken dat ik jouw volledige profiel via een truckje gewoon kan bekijken.

Daarbij is er op sociale netwerk sites niet voor niets de mogelijkheid om voor bepaalde content zoals foto's te bepalen wie ze wel en niet kunnen bekijken. Dan moet je er ook op kunnen vertrouwen dat dat inderdaad zo is. Roepen dat je niet zomaar alles op internet moet zetten is een ontzettende dooddoener, de werkelijkheid is veel genuanceerder.

gnimmeL_kraD @Haan • 6 mei 2010 09:36

Wat heeft je e-mail adres om je in te schrijven bij sites te maken met privé? Hier gebruik je uiteraard niet je normale e-mail adres voor, maar een half spam e-mail adres dat misbruikt mag worden.

TDeK

Social networking

@gnimmeL_kraD • 6 mei 2010 09:45

Of je gebruikt voor elke dienst een apart e-mail adres (makkelijk als je een eigen domein hebt). Kun je meteen zien wie of waar je gegevens zijn gelekt naar spammers

.
Maar het belangrijkste is wel dat je een apart wachtwoord gebruikt voor deze websites. Stel dat er een hack plaatsvind en ze stelen de account database. Ergste scenario: wachtwoorden zijn niet gehashed. Ze proberen dat wachtwoord op je e-mail account en ze zijn binnen. Vervolgens even zoeken naar een rekeningnummer tussen je e-mails, en ze loggen in bij je bank. Als in deze keten de wachtwoorden niet corresponderen, dan houdt het al op. Erg belangrijk dus wat betreft keten security.
@Haan: een uniek wachtwoord kiezen kan dan nog steeds.

[Reactie gewijzigd door TDeK op 24 juli 2024 05:09]

Haan @gnimmeL_kraD • 6 mei 2010 12:16

(ook @ Rick2910 hieronderboven) Een tweaker doet dat misschien zo, maar de overige 99,99% van mensen die op sites als Facebook zitten gebruiken daarvoor gewoon hun eigen e-mailadres hoor

[Reactie gewijzigd door Haan op 24 juli 2024 05:09]

gnimmeL_kraD @Haan • 6 mei 2010 13:53

Dat klopt, nog steeds eigen schuld. Als je zelf niet wilt verdiepen in dingen die je doet dan is het volledig je eigen schuld.

TDeK

Social networking

@Haan • 6 mei 2010 09:00

Ik heb het gevoel dat deze diensten zo hard groeien, dat goed testen er nogal eens bij inschiet. En maak je geen illusies, ook MySpace en Hyves hebben dergelijke issues gehad. Bij MySpace kon je privé foto's inzien en bij Hyves kon je bepaalde items van een afgeschermd profiel ophalen.
Kortom, social network sites moeten beter gaan testen: test teams met allerlei mogelijke testcases loslaten. Want ook al geef ik de posters hierboven gelijk (zet niks online wat je niet openbaar wilt maken), dan nog moet dit niet kunnen. Stel dat hetzelfde met een webmail omgeving zou werken...
@namarae: Vind ik een slecht excuus: als je systeem je boven je hoofd groeit, moet je overwegen om het op de schop te doen. Óf je neem een leger extra personeel aan. Doe je dat niet, dan kom je je eigen verantwoordelijkheid als (grote) site niet na, en zul je uiteindelijk marktaandeel verliezen omdat gebruikers je niet meer vertrouwen (lees: ze vertrouwen je geen serieuze gegevens meer toe).

[Reactie gewijzigd door TDeK op 24 juli 2024 05:09]

namarae @TDeK • 6 mei 2010 10:20

Tja,
zo'n site is natuurlijk ontzettend groot. Er zijn dus heel veel testcases te bedenken.
100% testen is gewoonweg onmogelijk, het lukt je nooit om alle mogelijke testcases te definiëren. En al zou je alle mogelijke testcases kunnen definiëren. Dan is het nog steeds veel te duur voor zo'n bedrijf. Veel te veel testers zullen nodig zijn om alles te testen.

Maar het blijft natuurlijk slordig

Edit:
@Rick2919:
Ze hebben inderdaad een verantwoordelijkheid om alles goed te testen. Zulke fouten zijn erg slecht, en geven een slechte naam. Helaas is facebook de grootste in zijn soort, en is er geen alternatief die het zelfde bied (en een groot aantal internationale gebruikers heeft) voor zover ik weet. En dus zullen mensen facebook wel blijven gebruiken. Ondanks fouten en lekken die er in zitten.
Het zou me niks verbazen als facebook dit ook weet, en daarom testen niet als hoogste prioriteit heeft. Ze zullen meer hun best doen om te inoveren, nieuwe toevoegingen en opties om nummer 1 te blijven. En dus zo de mensen te binden.

[Reactie gewijzigd door namarae op 24 juli 2024 05:09]

IStealYourGun @HotFix • 6 mei 2010 08:43

Er kan altijd wel eens iets fout gaan ongeacht de website, maar als je naar facebook, kijkt, dan vraag ik me soms toch af of dat bedrijf eigenlijk programmeurs heeft die iets kennen van veiligheid. Als je enkel door het veranderen van javascript parameter een beveiliging kunt omzeilen dan is dat geen veilgheidsbug maar een bewijs van onkunde. Elke amateur programmeur die een beetje kennis heeft van js weet hoe je parameters kan aanpassen, de enige moeilijkheid bij facebook is dat het veel parameters zijn.

Er zijn trouwens meer van die irritaties bij facebook dat aantoont dat ze weinig kennis van veiligheid in huis hebben. Ze hebben bijvoorbeeld wel een certificaat maar hun servers ondersteunen geen TLS Renegotiation.

Verwijderd @IStealYourGun • 6 mei 2010 09:00

Het kan natuurlijk ook zo zijn dat ze afschermingen e.d. eigenlijk gewoon niet willen ondersteunen. Ze moeten het soms wel, maar met tegenzin. Dat merk je ook aan de datalekken die wel als zodanig bedoeld zijn (automatische aanpassingen in policies e.d.).

Equator Crew Council 6 mei 2010 08:32

Misschien moeten ze les nemen bij Google

Het is natuurlijk jammer dat het mogelijk is, maar Shakkara heeft wel gelijk. Plaats je iets op het Internet, dan is dat per definitie nooit privaat.
Check failbook voor genoeg bewijs, alhoewel daarvan veel te wijten is aan stupide gebruikers.

SuperDre

Hackers

@Equator • 6 mei 2010 09:21

uhhh.... Ze hebben net dan een casestudy voor hackers gepubliceerd, maar zelf zijn ze nog zo lek als een mandje.. dus of je werkelijk bij Google moet zijn voor veiligheid? dacht het niet......

Verwijderd @SuperDre • 6 mei 2010 12:18

Zo lek als een mandje? Bewijs graag.

gnimmeL_kraD @Verwijderd • 6 mei 2010 13:54

Tada, uw bewijs: http://www.google.nl/accounts/TOS

zegt genoeg.

YopY @Equator • 6 mei 2010 09:31

Misschien moeten ze les nemen bij Google

Misschien ook niet - kan me herinneren dat het een paar jaar terug mogelijk was om emails van anderen te kunnen lezen door een fout in hun software. En ik wacht nog op De Grote Fail van google, waar in een klap veel informatie van gebruikers op straat komt te liggen.

HndSm 6 mei 2010 12:58

Het is bekend dat Facebook en zijn oprichter lak hebben aan 'privacy'.

De kreten, die ik hier ook lees, dat je niet moet zeuren als je iets op internet plaatst, zijn volstrekt absurd.

Als jij je voordeur openzet, betekent dat dan soms dat iedereen naar binnen mag gaan?

Heel simpele analogie.

netblade @HndSm • 6 mei 2010 13:56

Mensen zijn zelf ook niet bepaald zuinig met hun gegevens voor de wereld, 9/10 profielen zijn zonder enige moeite helemaal door de bladeren. Vooral hyves staat vol met openbare profielen waarop elke foto, bericht en vrienden te zien zijn.
Dat ligt eerder aan de gebruiker dan aan de dienst, deze bied het namelijk gewoon aan.
Mijn naam vind je ook niet heel veel op google terug.

gnimmeL_kraD @HndSm • 6 mei 2010 16:23

Jouw vergeliking met de open voordeur is compleet ongepast. Je hebt een open voordeur als je PC open aan het internet hangt. Dit gaat echter over je dagboek zonder slotje of beveiliging opbergen in een Citybox/Sureguard o.i.d. Er kan altijd ingebroken worden en het is gewoon niet verstanding om daar vertrouwelijke informatie in op te slaan.

eknem @HndSm • 6 mei 2010 14:20

Het is bekend dat Facebook en zijn oprichter lak hebben aan 'privacy'.

Het stomme is in de vrije markt (die schijnbaar zijn beste periode heeft gehad met de ontwikkeling van Intenet) heb je de keus om geen zaken meer te doen met een bedrijf die dingen doet waar je het niet mee eens bent. Zo wordt een bedrijf afgestraft en laat je als consument zien dat je de bedrijfsvoering van z'n bedrijf afkeurt.

Alleen vrijwel niemand met z'n facebook acount doet dit in praktijk. Als ik roep als bedrijf dat ik lak heb aan jouw privacy. En je blijft vervolgens gewoon klant bij mij. Dan is het vrij normaal dat ik de arrogantie krijg om te zeggen "Nou dat vinden ze schijnbaar niet erg". En dan gaat ik mijn beleid dus ook niet wijzigen.

Mensen die commentaar hebben zouden dit moeten laten zien door hun gegevens weg te halen bij facebook. Moet je kijken hoe snel ze hun beleid wijzigen als een groot gedeelte van de mensen dit doet. Ik trek dezelfde conclussie. Mensen vinden het niet erg wat er gebeurt met hun privacy.

Alleen ik vind dit heel erg eng, want dit zorgt er wel voor dat vervolgens andere bedrijven of erger nog de overheid, niet erg moeijlijk meer doet over dit soort mistanden. En nu dus wel erg makkelijk mijn prive gegevens op straat gaat gooien door een Elektronische Patienten Dosiers. bijvoorbeeld.

Mijn oproep aan U allen. LAAT ZIEN ALS JE HET ER NIET MEE EENS BEN.

--edit

NIET HIER. Maar door je facbook account te wissen.

--edit 2

En per email verzoeken aan facebook dat ze je gegevens ook daadwerkelijk uit hun database wisssen.

[Reactie gewijzigd door eknem op 24 juli 2024 05:09]

Sorcerer8472 6 mei 2010 08:32

Die tool waarmee je je profiel kunt bekijken alsof je een ander bent, doet me een beetje denken aan zo'n superadmin-login tool waarmee je kunt inloggen als al je gebruikers. Beetje creepy

Overigens was er een tijdje terug ook iets te doen om het kunnen bekijken van foto's op hyves, dat schijnt ook niet goed beveiligd te zijn ofzo... dat je niet het album kunt bekijken maar de foto's wel kunt hotlinken.

Ach, waar geha(c)kt wordt vallen spaanders

Andr01d @Sorcerer8472 • 6 mei 2010 08:40

Bij de meeste sites is het toch zo dat de foto's gewoon statisch gelinkt worden, maar dat de URL dan in principe geheim is. Als iemand die wel recht heeft om de foto te bekijken je een hotlink stuurt kan je er volgens mij altijd bij.

Vroeger was het echter zo dat de URL's van facebook's foto's niet al te moeilijk te raden waren.

teaser @Andr01d • 6 mei 2010 09:03

Volgens mij kan dit hotlinken naar foto's op facebook nog steeds, ik heb het onlangs toch nog geprobeerd op een forum en kreeg geen reacties dat de foto's niet zichtbaar waren.

Arch-IT-ect 6 mei 2010 08:52

Als een persoon nu z'n foto's beveiligd dat vreemden ze niet kunnen zien, maar z'n wall wel en je klikt op een foto die op de wall staat, kun je ook de andere foto's opvragen.

teaser @Arch-IT-ect • 6 mei 2010 09:05

Dat hangt af van de instellingen van het foto-album. Je hebt de keuze aan wie je de foto's blootstelt: 'everyone', 'friends of friends', 'only friends'. De meeste mensen doen natuurlijk niet de moeite om daar 'only friends' van te maken.

En dan ga je er natuurlijk nog vanuit dat er weer geen veiligheidslek is waardoor alsnog iedereen je foto's kan zien...

Verwijderd @teaser • 6 mei 2010 10:46

Een van de kritiekpunten op deze sociale netwerksites is dat de standaard instellingen zijn dat iedereen alles moet kunnen zien. Imo dient dit dan ook omgedraaid te worden en moet je expliciet toestemming geven om info te delen. Daarvoor moet natuurlijk wel de interface eerst aanmerkelijk vriendelijker gemaakt worden

TJ4R 6 mei 2010 08:29

Toch heb ik bij dergelijke voorvallen een dubbel gevoel. Aan de ene kant verwacht je natuurlijk dat een dergelijke organisatie voorzichtig met je gegevens omgaat. Maar aan de andere vind ik het ook wel enigszins 'eigen schuld, dikke bult'. Wanneer je ervoor kiest om gebruik te maken van dergelijke sites en daar je gehele privéleven op plaatst, bestaat er altijd een kans dat deze op straat komen te liggen. Wil je dit absoluut niet, maak dan geen gebruik van zo'n site.

jordees @TJ4R • 6 mei 2010 08:33

Precies. Het gemak waarmee mensen hun hele ziel en zaligheid op het web plaatsen is nogal beangstigend. Mensen staan er niet bij stil dat ze hun volledige privacy in handen leggen van een commerciële organisatie en die nemen het met die privacy niet zo nauw. In feite zou de burger gewaarschuwd moeten worden over het niet zomaar online plaatsen van privé-gegevens. Een dagboek wordt immers ook altijd netjes opgeborgen.

Dorgaldir 6 mei 2010 09:22

Ik hoop voor hun dat dit een laatste keer is dat zoiets gebeurd, want als er nog meer van die bugs gevonden worden kan het wel eens zijn dat ze binnenkort een hoop gebruikers gaan verliezen.

Bijna alles wat op het net komt is openbaar of toch op zijn minst terug te vinden, maar dat betekend niet dat sites als facebook geen moeite moeten doen voor het beveiligen van de privegegevens van je clienteel.

Verwijderd @Dorgaldir • 6 mei 2010 09:35

Het hele punt is vaak dat de beveiling tijdens ontwikkeling niet vanaf het begin bij een project betrokken wordt en er pas later bij komt. Dan krijg je vaak van die halfzachte oplossingen waar creatieve geesten relatief simpel gaten in kunnen ontdekken.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (89)

Sorteer op:

Weergave: