Studenten ontfutselen Facebook-gegevens met 'imitatie-hack'

Twee studenten zijn erin geslaagd een hack te ontwikkelen waarmee gegevens van Facebook-gebruikers konden worden ontfutseld. De studenten bouwden een script dat zich voordeed als een legitieme website, die toegang had tot Facebook-data.

De studenten, van wie de namen niet bekend zijn, konden van elke ingelogde Facebook-gebruiker de bijbehorende naam ontfutselen wanneer de gebruiker een speciaal geprepareerde webpagina laadde. Van gebruikers die een andere site toegang hadden gegeven tot hun Facebook-account, zoals ESPN, Farmville of The New York Times, kon veel meer informatie worden achterhaald. Dat schrijft beveiligingsbedrijf Sophos.

Het is onduidelijk hoe de hack precies werkte; er zijn geen technische details vrijgegeven. Duidelijk is wel dat de studenten een script bouwden dat zich voordeed als een legitieme website die toegang had tot Facebook-data van gebruikers. Onder andere gegevens als geboortedatum en e-mailadres konden worden achterhaald.

Bovendien was het mogelijk om Facebook-berichten op het profiel van gebruikers te plaatsen, zoals phishing-links. De studenten hebben contact opgenomen met Facebook, dat het lek inmiddels heeft gedicht.

Door Joost Schellevis

Redacteur

Feedback • 03-02-2011 13:2531

03-02-2011 • 13:25

31 Linkedin

Lees meer

Skype en Dropbox dichten lek dat toegang tot Facebook-accounts gaf - update Nieuws van 4 april 2013
Beveiligingsexpert kreeg weer volledige toegang tot Facebook-accounts Nieuws van 13 maart 2013
Zynga werkt aan opvolger Farmville Nieuws van 27 juni 2012
Britse student krijgt acht maanden cel wegens hacken Facebook Nieuws van 17 februari 2012
Fout in Facebook-code gaf inzage in privéfoto's andere gebruikers Nieuws van 7 december 2011
Facebook-bug gaf toegang tot details afgeschermde video's Nieuws van 25 juli 2011
'Facebook blokkeert exporttool' Nieuws van 5 juli 2011
Facebook gaf adverteerders toegang tot gebruikersgegevens Nieuws van 11 mei 2011
Facebook test realtime-advertenties op basis van statusupdates Nieuws van 26 maart 2011
Facebook herschrijft privacyvoorwaarden in Jip-en-Janneke-taal Nieuws van 26 februari 2011
Postcodeloterij lekt privégegevens door ontwerpfout - update Nieuws van 21 februari 2011
VakantieVeilingen.nl zet privégegevens in html-broncode Nieuws van 11 februari 2011
Facebook verkoopt userpostings zonder opt-out te bieden Nieuws van 27 januari 2011
Facebook schort gebruik extra privédata voor app-ontwikkelaars op Nieuws van 18 januari 2011
Facebook-apps kunnen meer privédata gaan opvragen Nieuws van 17 januari 2011
Amerikaan gebruikte Facebook-informatie om e-mailaccounts te kraken Nieuws van 15 januari 2011
Tunesië hackt mailaccounts activisten Nieuws van 7 januari 2011
Facebook krijgt gezichtsherkenning voor foto's Nieuws van 16 december 2010
Twitter- en Facebook-account Anonymous geblokkeerd Nieuws van 9 december 2010
Facebook in Duitsland aangeklaagd wegens privacyschending Nieuws van 1 december 2010
Opensource-alternatief voor Facebook opent deuren Nieuws van 24 november 2010
Berners-Lee: sociale netwerken en iTunes bedreigen toekomst web Nieuws van 20 november 2010
'Amerikaanse overheid wil online-privacywaakhond' Nieuws van 13 november 2010
Facebook schorst ontwikkelaars die id's verkochten Nieuws van 1 november 2010
Meer producten en artikelen
Privacy Websites en communities Internet Beveiliging Datalek Facebook

Reacties (31)

-Moderatie-faq
31
29
16
0
0
0
Wijzig sortering
ivopatty
3 februari 2011 13:32
Toch erg netjes dat ze er niet vandoor gaan met de gegevens, maar gewoon contact op nemen met Facebook en melden dat ze een lek gevonden hebben. Zou me namelijk niks verbazen als er wel mensen zouden zijn die er met dit soort gegevens van door gaan.
Xirt
@ivopatty3 februari 2011 13:34
De vraag is natuurlijk of er al eerder mensen zijn geweest die dit lek gebruikt hebben en zodoende veel persoonsgegevens hebben bemachtigd. Ik vrees echter dat we daar wel nooit achter zullen komen (zelfs als weten ze dat bij Facebook, dan zullen ze dat niet zomaar openbaar maken, omdat dat de reputatie kan schaden).
ivopatty
@Xirt3 februari 2011 13:37
Tja, je moet je reputatie toch hoog houden. Of door goed te zijn, of door slecht te zijn en er niks over te melden. Echter blijf ik het wel goed vinden dat ze, zodra ze horen dat er een lek is (er zelf naar zoeken doen ze volgensmij niet), het ook gelijk fixen.
Xcalibur
3 februari 2011 13:45
Dit klinkt alsof ze gewoon de data van een gebruiker via de API ophalen, op het moment dat die gebruiker daar toestemming voor geeft? Klinkt een beetje als waar de API voor bedoeld is zeg maar?

Of mis ik nu iets?
Xirt
@Xcalibur3 februari 2011 13:47
Voor de API moet je toestemming geven per website / applicatie, maar dat bleek niet goed te werken: als jij website A toestemming gaf, kon je blijkbaar ook via website B de informatie via de API ophalen.
marti-n
3 februari 2011 13:40
hmm, tijdje terug een filmpje op youtube gezien van defcon, hierin werd ook een facebook account gehackt, ook dmv een speciaal geprepareerde website, geen idee of het dezelfde hack is, maar sowieso goed dat ze dit direct aan facebook gemeld hebben.
Naj_Geetsrev
3 februari 2011 13:33
Whuh. Ik dacht (of beter gezegd, nam aan) dat Facebook gebruik maakte van OAuth. Is dit niet zo? Anders was OAuth toch gewoon lek?
bstudio
@Naj_Geetsrev3 februari 2011 13:36
De graph API van facebook (voor bijvoorbeeld de loginbutton voor inloggen met facebook) maakt geen gebruik van oAuth, maar plaatst een cookie met fb_ applicationID zodra er authorisatie van de gebruiker is. Ik weet alleen niet hoe de beveiliging aan de achterkant word geregeld bij facebook. Waarschijnlijk faken ze het adres van de website in de request naar de graph api

[Reactie gewijzigd door bstudio op 3 februari 2011 13:37]

Xirt
@bstudio3 februari 2011 13:42
Klopt volgens mij. Het is alleen nogal krom, want de beveiliging is natuurlijk zo zwak als de zwakste schakel in de ketting. In dit geval is de beveiliging met OAuth eigenlijk nietszeggend, zolang er nog 'slechtere' beveiligingsmethoden gebruikt worden.
tweaker2010
@Naj_Geetsrev3 februari 2011 13:37
Klopt. "Facebook Platform uses the OAuth 2.0 protocol for authentication and authorization."
http://developers.facebook.com/docs/authentication/
keejoz
3 februari 2011 13:43
Als ik het goed begrijp kon je eigenlijk niet meer info krijgen dan wat de gebruiker "openbaar" stelde?

Niets speciaal denk ik dan
Xirt
@keejoz3 februari 2011 13:46
Het verschil is dat deze informatie normaal gesproken niet te benaderen is vanuit andere websites en dat dat nu wel het geval is. Daardoor zou je (via een pagina op een populaire website) een database op kunnen bouwen met bijvoorbeeld namen, e-mailadressen en andere informatie. Die informatie kan vervolgens gebruikt worden voor spam en phising.
bstudio
@keejoz3 februari 2011 13:48
Het gaat hierbij over informatie die je aan een andere website beschikbaar hebt gesteld (bijvoorbeeld dus ESPN), als je die de toestemming hebt gegeven om dingen op je "wall" te plaatsen dan kan dat via de fake applicatie ook. Vandaar dat er ook in het artikel staat dat er phishing links zijn te plaatsen. Het feit dat dit kan geeft aan dat facebook niet echt slim heeft nagedacht over de applicatie interfaces (graph API)
bstudio
3 februari 2011 13:31
Zouden ze gewoon de facebook application cookie gebruiken en vervolgens de website url faken?
arjankoole
@bstudio3 februari 2011 15:04
Dat is niet mogelijk volgens mij. Dat lek zou in de browser zitten, niet in de Facebook site zelf.
Klinux
3 februari 2011 13:51
Ik ben het met Keejoz eens...

Laatst dat men beweerde dat zij de website van FaceBook hadden gehakt was dit idd ook eht geval. Toen kon je all die data downloaden via een torrent... Mijn data zat daat ook tussen en idd alleen die data die ik op zichtbaar had staan... Niet veel dus :P

Ik denk dat het interessanter wordt wanneer men acces tot de DB krijgt en daarvan de data decripted kan lezen.. (Ervanuitgaande dat men hun data op de DB encript ;-) )
xorinzor
3 februari 2011 14:42
ze krijgen zo wel een goed imago he?
Eerst de eigenaar van facebook wiens pagina is gehacked en nu dit weer, dat grote websites een groter risico hebben op lekken is logisch maar dat ze zo snel achter elkaar komen is toch wel erg toevallig..
BackfireNL
3 februari 2011 14:46
Oftewel gewoon standaard phising...
Mizitras
3 februari 2011 14:48
Veiligheid topprioriteit bij FB ? Hm :-/
Gezien Marck Zuckerberg er nooit een geheim van maakte dat hij de mensen maar zo gek en dom vond, dat ze hem al die informatie toevertrouwde, beschouw ik hem ook niet echt als een integer en te vertrouwen persoon. Mijn bank weet ook 'voldoende' van mij af, maar de moment als ik hoor dat ze de gebruiker belachelijk maken, ben ik er ook weg.
FB heeft géén naam hoog te houden, maar een naam te maken. Ze zijn er nog neit lang genoeg en Marck Zuckerberg lijkt me niet de beste CEO. Iemand die vooral meer om het geld inzit (en laat ons neit starten over die gedwongen donatie nota bene), dan om zijn 'cliënteel'.

[Reactie gewijzigd door Mizitras op 3 februari 2011 14:48]

1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee