Fout in Facebook-code gaf inzage in privéfoto's andere gebruikers

Gebruikers van Facebook konden afgeschermde foto's van anderen bekijken door een fout in de methode, waarmee misbruik gemeld kan worden. Ook foto's van Facebook-oprichter Marc Zuckerberg zijn zo op straat beland.

De beveiligingsfout zat in de de antipornofunctie van Facebook. De sociale-netwerksite beschikt over een functie waarmee een profielfoto van een gebruiker bij Facebook kan worden gerapporteerd als deze pornografisch is. Indien een gebruiker dit deed, dan bleek hij daarna in staat alle foto's van de gerapporteerde gebruiker te kunnen zien, inclusief foto's die door de gebruiker zelf waren gemarkeerd als privé.

De fout werd dinsdag ontdekt en is in de uren daarna direct door Facebook gedicht. Facebook stelt dat de fout er is in geslopen bij een recente wijziging aan de code en dat misbruik van deze fout slechts beperkte tijd mogelijk is geweest. Internetters hebben echter voldoende tijd gehad om het lek te 'misbruiken' waardoor van diverse personen privéfoto's konden worden bekeken. Ook Facebook-oprichter Mark Zuckerberg moest er aan geloven: op een site waar afbeeldingen online kunnen worden gezet zijn foto's van de ceo gepubliceerd.

Het is niet de eerste keer dat Facebook in verlegenheid wordt gebracht door privacygerelateerde zaken. Zo demonstreerden twee studenten begin dit jaar een manier om, hoewel met de nodige moeite, gegevens van Facebook-gebruikers uit te lezen. Ook bleek eerder dit jaar dat derde partijen, zoals adverteerders, per ongeluk toegang hadden tot gebruikersgegevens als foto's en chatberichten, zodat ze aan datamining konden doen.

Eind vorige maand bereikte Facebook nog een schikking met de Federal Trade Commission over de diverse privacyschendingen waarvan de sociale-netwerksite werd beschuldigd. Facebook moet als onderdeel van de schikking om het jaar een audit laten uitvoeren.

IT-banen

Reacties (63)

WoBBeL

7 december 2011 08:07

Heel simpel, wil je niet dat mensen je foto's kunnen zien dan moet je ze niet online zetten en al helemaal niet bij een dienst waarvan jij niks in beheer hebt.

Grrrrrene

@WoBBeL • 7 december 2011 08:12

Helemaal mee eens. Ik hoorde een collega van me gisteren nog vertellen dat ze al haar dierbare foto's op internet wil zetten als backup. En dan kijkt ze naar sites als Flickr en Picasa Web Albums. Natuurlijk kan alles achter een wachtwoord, maar het staat wel online en het is wachten tot de zoveelste hack waarbij jouw privé-foto's praktisch op straat liggen.

sys64738 Moderator F&V @Grrrrrene • 7 december 2011 09:00

Ik heb ook aardig wat (semi-)prive foto op Flickr staan maar ben me ervan bewust dat dit gevaar op de loer ligt. Toch heb ik wel vertrouwen in Flickr en totaal geen vertrouwen in Facebook. Wil je je spul echt veilig backupen, dan moet je alles zelf goed encrypten en dan op een online storage plek zetten (zoals DropBox... die an sich ook weer niet echt bekend staan om hun betrouwbaarheid. Dus encryptie stap niet overslaan!).

Snap sowieso niet dat er nog mensen op Facebook zitten (mijn eigen vrouw ook). Al die security flaws en nare truuks die ze uithalen.

KirovAir @sys64738 • 7 december 2011 09:10

Snap sowieso niet dat er nog mensen op Facebook zitten (mijn eigen vrouw ook). Al die security flaws en nare truuks die ze uithalen.

Ik denk dat je met een userbase zo groot als die van facebook al een stuk meer op de proef wordt gesteld door hackers als een wat kleinere website. Tevens heeft facebook vrij snelle release cycles waarbij je dan toch blijkbaar niet alles waterdicht online zet.
Uiteraard zeer onwenselijk en misschien zelfs ergens onprofessioneel, maar fouten zijn ook maar menselijk natuurlijk.

Ontopic:
Ik kan me herinneren dat facebook al eerder een soort flaw als deze had. Dit ging niet om specifieke privé foto's, maar wel om het bekijken van afgeschermde foto's voor mensen die geen vrienden van je waren. Je kon dan door simpele url-tampering een heel fotoboek doorspitten.

ANW @KirovAir • 7 december 2011 09:20

Natuurlijk, fouten maken is menselijk, maar leren van je fouten ook; het lijkt er niet op dat FB dit laatste doet.

3raser @ANW • 7 december 2011 11:02

Dat is natuurlijk makkelijk gezegd. Als je duizenden regels code per dag tikt zitten daar gewoon fouten in. En zelfs met de beste tests en testers ter wereld zul je nooit voorkomen dat er geen fouten online komen te staan.
Facebook zal best leren van zijn fouten, maar dit zal nooit resulteren in een foutloze applicatie.

locke960 @3raser • 7 december 2011 12:28

fouten in code kun je niet voorkomen, dat klopt. Het Facebook beveiligings concept lijkt echter fundamentele ontwerp problemen te hebben.

Wat je zou verwachten is dat je foto's in een foto-opslag zitten die zelf controleert of de toegang toegestaan is. dwz, Facebook applicatie vraagt om een foto, foto-opslag controleert of gebruiker de rechten op die foto heeft, indien niet dan krijgt de applicatie, en dus de gebruiker, geen toegang tot de foto.

Hoe het werkt: Facebook applicatie heeft toegang tot foto nodig, Facebook applicatie zelf heeft toegang tot alles. Facebook applicatie beslist wat wel en niet aan de gebruiker wordt getoond.

Het mag duidelijk zijn dat het eerste model veel veiliger is dan het tweede. De beveiliging gebeurt op 1 plek die niet vaak wordt aangepast, bugs in applicaties kunnen niet leiden tot onbedoelde toegang.
Daarentegen kan in het tweede model elke aanpassing in elke applicatie tot een beveiligingsprobleem leiden.

Peetz0r @locke960 • 7 december 2011 18:06

Hmm, al je foto's zijn sowieso openbaar. Alleen de urls ervan niet.

https://fbcdn-sphotos-a.a...94_554073_976004083_n.jpg

Oftewel, de beveiliging van foto's in Facebook is sowieso compleet afwezig.

Verwijderd @sys64738 • 7 december 2011 09:11

OT:
An sich is niet hetzelfde als op zich

Sfynx @sys64738 • 7 december 2011 09:31

http://www.tarsnap.com

$_/-\o_$

De backup-oplossing voor de echte aluhoedjes

Verwijderd @Sfynx • 8 december 2011 09:43

nee man gebruik backup online van KPN ik heb al 20 terra online staan en betaal nog steeds maar 5 euro per maand gewoon geweldig $_/-\o_$ $_/-\o_$

kramer65 @sys64738 • 7 december 2011 10:20

Wil je je spul echt veilig backupen, dan moet je alles zelf goed encrypten en dan op een online storage plek zetten (zoals DropBox... die an sich ook weer niet echt bekend staan om hun betrouwbaarheid. Dus encryptie stap niet overslaan!).

Een tipje voor de mensen die online willen backuppen: spideroak. Zij hebben geen privacy-policy, maar een password policy. Alles wordt namelijk op jouw eigen computer versleuteld, en dan pas naar hen verstuurd. Als je je wachtwoord kwijt bent, dan ben je dus ook gewoon de zak en kan je niks meer terug halen, wat ik persoonlijk wel een fijn gevoel vind..

Het duurde even, maar ik heb inmiddels mijn volledige fotoarchief (zo'n 170GB) bij hen opgeslagen.

en nee, ik heb geen aandelen spideroak..

Fireshade @kramer65 • 7 december 2011 11:16

Spideroak is alleen gratis tot 2 GB. Daarboven is het abonnement best fors. Dan lijkt een eigen fysieke oplossing een stuk ruimer en goedkoper (USB-schijf / nas elders plaatsen).

skaars @Grrrrrene • 7 december 2011 10:43

Sterker nog, in de voorwaarden van Picasa staat dat ze (Google) de foto's mag gebruiken voor "eigen doeleinden".

CobraVE @Grrrrrene • 7 december 2011 09:08

In een rar bestand met goed wachtwoord op een hidden link van sites als Rapidshare is de beste optie

swtimmer @CobraVE • 7 december 2011 11:16

Want die beloven dat jouw bestanden veilig blijven? of ga je er vanuit dat mocht er ooit wat fout gaan op je eigen pc dat je online bestanden bij Rapidshare nog steeds staan?

CobraVE @swtimmer • 7 december 2011 19:23

Voor de gemiddelde persoon, ik gebruik meerdere van pc's verspreid over een aantal landen om backups te maken van mijn dingen.

tc982 @CobraVE • 7 december 2011 11:19

Tot wanneer hier ook een "flaw" inzit, en deze gemakkelijk te kraken is. Wil je iets niet online houden, hou het dan ook niet online. Backups kan je gemakkelijk bij je ouders leggen, en test ze eens per jaar.

Verwijderd @Grrrrrene • 7 december 2011 09:47

Ik zou prive foto's op een externe schijf zetten, dan kan je die veilig in een kluis leggen voor het geval dat je huis afbrand.

Verwijderd @Grrrrrene • 7 december 2011 11:25

Vertel haar dat: als ze backups wil maken op een veilige manier, laat haat dan de foto's afdrukken en een kluis huren bij een bank. Of een kluis kopen en die begraven onder het huis. Of de foto's en negatieven aan een uiterst betrouwbare vriend geven.

Mayco @WoBBeL • 7 december 2011 08:12

... al had Mark Zuckerberg dat wel in beheer

BLACKfm @Mayco • 7 december 2011 12:14

Volgens bovenstaand verhaal vond die het dan vast niet erg dat ze lekte.

Het zijn ook geen bijster spannende foto's. Geen dingen die niet openbaar zouden kunnen, maar die hij wellicht toch liever voor zichzelf en zijn 'vrienden' had gehouden.

AndreStarTrek @Mayco • 7 december 2011 20:26

Good one LOL

Maar Xost heeft wel een punt, ik zelf heb een bloed heken aan social networks. Ik snap regelmatig niet eens wat mensen bezielen om hun privé spul op internet te zetten.

Ik kan online ook wel bij wat privé spul maar dan wel op eigen server en dan niet eens te privé dingen omdat ik zelf dat al te eng vind.

Ik hoop dan ook dat mensen wijzer worden en stopen met social networks. Ik heb genoeg gezien hoe social networks je leven kunnen ruïneren.

Verwijderd @WoBBeL • 7 december 2011 17:04

Het probleem is dat "je vrienden" vaak jou fotos online zetten. Zeker fotos die je er zelf liever niet op had gezet.Maar er is geen optie ommensen geen fotos van jou te laten posten (of te verwijderen wanneer je er in getagt word).

Zorian 7 december 2011 08:17

Er is nog een manier die enigszins op dezelfde manier werkt. Als jij van een persoon die zijn profiel volledig heeft afgeschermd een foto opent, kan je er op rechtsklikken en de URL van de foto kopiëren. Deze kan je vervolgens aan iedereen geven of ergens embedden etc. Misschien niet exact hetzelfde als wat er in het bericht staat, maar ook dit is iets waarmee je de beveiliging kan omzeilen.

Mfpower @Zorian • 7 december 2011 10:16

Ik had dit ook al ontdekt, maar ik vroeg me af of dit een bug of een feature is. Omdat je van mensen kunt zien waar ze op reageren kun je de URL van de foto achterhalen. Ik heb zo al meerdere afgeschermde foto's kunnen zien.
Maar het lijkt me zo obvious dat ik telkens het idee heb dat dit de bedoeling is van facebook (omdat ik de foto's ook al voorbij zie komen in recente activiteiten).

[Reactie gewijzigd door Mfpower op 22 juli 2024 19:24]

Dykam @Zorian • 7 december 2011 21:07

Weinig aan te doen. Facebook gebruikt een content-delivery network (static.ak.fbcdn.net), hierdoor is er geen beveiliging overheen.

Mikew991 7 december 2011 08:28

Zoals xost al zei: als je niet wil dat er iets van je op het internet komt.. Zet het er dan niet op.

Ik ben alleen wel bang dat er meer op het internet staat en dat ze meer opslaan als ik denk. maar wat doe je eraan? je kan het nog zo goed proberen af te schermen, maar als 'ze' echt iets van je willen weten, dan verkrijgen ze die informatie toch wel.

wel goed van facebook dat ze er zo snel op reageren. Maar zijn ze zelf niet op het idee gekomen om even alles te checken op fouten? Of is dit niet zo makkelijk als het lijkt, ben namelijk niet zo thuis in het hacken?

Verwijderd @Mikew991 • 7 december 2011 09:06

Ik heb foto's op mn mobiel staan, contacten etc. Net zoals sommigen dat vroeger in hun portemonnee deden. Als ik dan over straat loop, een onbekende opeens mn mobiel uit mn broek pakt en de foto's gaat bekijken, heb ik dan niets te klagen omdat ik ermee op een openbare plek loop? Omdat het mijn schuld is dat mijn broek niet genoeg afschermt?
Maar goed, je stuurt wel je foto's naar Facebook, een bedrijf dat je niet goed kent en dat geld van je verdient. Je verwacht maar dat een onbekende jouw foto's in een kluis bewaart. Idioot idee, niet?

Admiral Freebee

@Verwijderd • 7 december 2011 09:30

Het zou niet mogen, maar als je weet dat de kans zeer reëel is, dan is de tip van xost een hele goede. Als je weet dat je je auto parkeert in een gebied met veel criminaliteit, dan laat je jouw laptop toch ook niet op de achterbank slingeren? Dat is geen kwestie van "het zou niet mogen", maar van gezond verstand

markoverklift 7 december 2011 09:22

Ik begrijp dat hele privacy geneuzel niet.
Het is facebook, het is je huis niet.
Vergelijk het met een vereniging, die vergelijking gaat het best op.

1. Je gaat over het algemeen niet in compromiterende poses langs het veld staan, of in je onderbroek schaken.

2. Alles wordt gedocumenteerd. Alles. Dus je komt nergens mee weg en alles is te lezen.
Ga er van uit dat iedereen dat kan. Waarom zou je iets schrijven op facebook wat je niet recht in ieders gezicht zou kunnen zeggen en met de consequenties zou kunnen leven als ieder ander persoon op aarde het zou weten?

3. Zoals eerder gezegd is het niet in jouw handen. De beveiliging van een site wordt exponentieel moeilijker met het toenemen van het aantal regels code.
Je gooit ook niet de kroonjuwelen in een zwembad kluisje. Dat kan goed gaan, zelfs voor langere tijd, maar je weet dat 't uiteindelijk fout gaat

4. Als er iets fout kan gaan, gaat het ook fout. Dat was al zo voordat Murphy ooit geboren was en dat zal altijd blijven gebeuren

Hoe kan je de dorpsspreker je geheimen geven en vervolgens niet verwachten dat vroeger of later alles op straat kan komen te liggen?

Sisko @markoverklift • 7 december 2011 12:31

In de kantine van de voetbalvereniging kan je toch ook in een hoekje prive praten over wat dan ook, en foto's op je telefoon laten zien? Dat is vergelijkbaar met de prive messages en afgeschermde foto's.

Tjeerd 7 december 2011 08:25

De foto's van Zuckerberg stonden al gewoon publiekelijk online?

neeroeter 7 december 2011 08:41

Je zet het op internet maar wel op een site die claimt de boel af te kunnen schermen, facebook profileert zichzelf teslotte als een ommuurde community. Ze willen maar al te graag dat je FB ziet als "het internet"...en nooit meer ergens ander naartoe surft.
Daarom is dit nieuwswaardig.

Als je zegt dat "je dingen die je privé wil houden, dan maar niet op internet moet zetten", pleit je FB wel heel makkelijk vrij.

Arieko 7 december 2011 09:47

Mark Zuckerberg in een blogpost op Facebook:

"Ik heb Facebook opgericht met het idee dat mensen ervaringen met elkaar willen delen en in contact willen blijven met anderen in hun leven, maar om dit te kunnen doen moet iedereen te allen tijde volledige controle kunnen uitoefenen over wat ze met wie delen."

"In het algemeen geloof ik dat we een goed track record hebben als het gaat om transparantie en de controle over wie jouw informatie kan zien."

"Ik begrijp ook dat veel mensen van nature sceptisch zijn wat het voor honderden miljoenen mensen betekent om online zoveel persoonlijke informatie te delen, vooral als ze dat via één dienst doen. Zelfs wanneer onze staat van dienst over privacy perfect zou zijn geloof ik dat veel mensen zich nog steeds en terecht zouden afvragen of hun informatie beschermd is. Het is belangrijk dat mensen hier over nadenken, en er gaat geen dag voorbij zonder dat ik er over nadenk wat het voor ons betekent om de opzichters te zijn van deze community en het vertrouwen van die community."

markoverklift @Arieko • 7 december 2011 10:05

Aldus de marketing afdeling...
Denk is na dan, wat gaat ie dan zeggen?

HerrPino 7 december 2011 10:05

Tja, dit is dan ook gelijk het probleem van alles in $_/-\o_$ 'DE CLOUD' $_/-\o_$ zetten. Deze software is gebouwd door mensen en bevat fouten ... ook op gebied van privacy. Het is wat dat betreft alleen veilig wanneer zelfs de eigenaar er zelf ook niet bij kan.

Verwijderd 7 december 2011 11:23

Ja, deze wereld moet even wennen aan facebook, net zoals het met Google Streetview, webcams en alles op internet, loopt de wet er een beetje achteraan te kruipen als een baby. Er gaat nog van alles mis, maar dit is weer niet bewust gedaan.

AmigaWolf 7 december 2011 17:45

Waarom niet all je foto's of CD's of DVD's zetten en een kopie makken en die bij je ouders of sus of broer leggen, dan heb je nooit last dat als er brand of water schade is je je foto's kwijt bent, dat is veel veiliger dan of Facebook en de rest van de sites.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (63)

Sorteer op:

Weergave: