Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Privacylek treft 6 miljoen Facebook-gebruikers

Facebook kampte met een privacylek met betrekking tot de mailadressen en telefoonnummers van 6 miljoen mensen. Door de aard van de bug, was de informatie echter slechts zichtbaar voor een enkele andere persoon. Facebook mailt getroffen gebruikers persoonlijk.

Facebook kreeg een tip over het lek via zijn White Hat-programma voor het melden van beveiligingsbugs. Het mailadres en het telefoonnummer, normaal gesproken afgeschermd, waren alleen te benaderen voor een persoon die al contactinformatie van de gebruiker had of die al een connectie met de persoon had.

De bug heeft te maken met de aanbevelingstechnologie van Facebook. Als gebruikers hun contactenlijst of adresboek toevoegen, probeert Facebook die gegevens te matchen met informatie van andere gebruikers, zodat de dienst vrienden kan aanbevelen. Sommige data om te kunnen matchen, werd echter opgeslagen als onderdeel van contactinformatie bij Facebook-accounts. Als die bezitter van een account zijn eigen gegevens wilde downloaden als onderdeel van het Download Your Information-programma, kreeg hij ook het mailadres en het telefoonnummer van de desbetreffende contactpersoon te zien. "We schatten dat 1 Facebook-gebruiker deze extra contactgegevens naast je naam heeft kunnen zien nadat hij/zij een exemplaar van zijn/haar accountgegevens had gedownload", meldt Facebook in een mail aan getroffen gebruikers.

Facebook claimt de Download Your Information-tool direct offline gehaald te hebben na de melding en het probleem opgelost te hebben. Volgens de site is bij de meerderheid van 6 miljoen getroffen gebruikers de informatie een of twee keer gedownload. De impact is gering, meent de dienst in zijn e-mail aan gebruikers: "Er zijn geen andere gegevens over jou weergegeven en het is waarschijnlijk zo dat het om iemand gaat die je kent, ook al zijn jullie niet bevriend op Facebook." Facebook heeft de gebruikers via een e-mail gewaarschuwd en de autoriteiten in onder andere Europa van het datalek op de hoogte gesteld.

Door Olaf van Miltenburg

Nieuwscoördinator

22-06-2013 • 08:36

76 Linkedin Google+

Submitter: Moartn

Reacties (76)

Wijzig sortering
Ik kreeg zojuist een mail van ze (x=geanonimiseerd):

Beste X,

Je privacy is erg belangrijk voor iedereen die bij Facebook werkt en we werken hard aan het beschermen van je gegevens. Maar ondanks het feit dat we onze tijd volledig besteden aan het voorkomen of oplossen van problemen voordat ze iedereen treffen, zijn we nu tekortgeschoten in deze doelstelling en heeft een technische bug ervoor gezorgd dat je telefoonnummer of e-mailadres voor andere personen zichtbaar was.

De bug was beperkt van omvang en heeft waarschijnlijk alleen mensen die je buiten Facebook al kent, toegang gegeven tot je e-mailadres of telefoonnummer. Maar zoals we eerder ook al zeiden, we nemen deze fout zeer hoog op.

Een beschrijving van de oorzaak van de bug kan nogal technisch worden, maar we willen toch graag uitleggen hoe deze fout heeft kunnen optreden. Wanneer mensen hun contactlijsten of adresboeken uploaden naar Facebook, proberen we die gegevens te vergelijken met de contactgegevens van andere mensen op Facebook zodat we suggesties voor vriendschappen kunnen doen. Door de bug zijn de e-mailadressen en telefoonnummers die worden gebruikt om vriendschapssuggesties te doen en het aantal uitnodigingen dat we versturen te verminderen, onbedoeld opgeslagen bij hun geüploade contacten in hun accounts op Facebook. Daardoor kon het gebeuren dat als iemand via ons hulpmiddel voor het downloaden van zijn/haar gegevens een archief downloadde van zijn/haar Facebook-account met zijn/haar geüploade contacten, deze persoon extra e-mailadressen of telefoonnummers kan hebben ontvangen.

Dit zijn je contactgegevens (die onbedoeld toegankelijk waren voor maximaal 1 Facebook-gebruiker):
x***@x*********.x

We schatten dat 1 Facebook-gebruiker deze extra contactgegevens naast je naam heeft kunnen zien nadat hij/zij een exemplaar van zijn/haar accountgegevens had gedownload. Er zijn geen andere gegevens over jou weergegeven en het is waarschijnlijk zo dat het om iemand gaat die je kent, ook al zijn jullie niet bevriend op Facebook.

We erkennen dat het onbedoeld delen van contactgegevens onacceptabel is, ook al ken je de personen die deze gegevens hebben gezien. We hebben dan ook maatregelen getroffen om te voorkomen dat dit nog een keer gebeurt. Lees ons blogbericht voor meer informatie over deze bug.
Iedereen bij Facebook neemt dit probleem zeer serieus. We stellen je gebruik van Facebook erg op prijs en werken er elke dag weer aan om je de hoogwaardige service te bieden die je verwacht en verdient.

Hartelijk bedankt,

Het Facebook-team
Boven staande mail heb ik ook ontvangen. Maar bij mij was het m'n telefoonnummer die ze hadden gedeeld. Het rare is, dat ik mijn telefoonnummer nooit heb doorgegeven aan facebook. Na het controleren van mijn contact gegevens op facebook, bleek inderdaad dat ik mijn telefoonnummer daar niet had ingevuld.

Nu vraag ik me af hoe facebook aan mijn telefoonnummer is gekomen? Komt dit doordat ik facebook op mijn smartphone heb geinstalleerd en dat daarmee facebook je telefoonnumer overneemd?
Oa. Of iemand heeft je als contact op zijn gsm met jou gsm nummer.

Die persoon heeft dan Facebook Messenger of zo gedownload die ook alle contacten overloopt, een emailadres gevonden en een telefoonnummer.

Zodoende was er een match :-)
Handig, je hoeft je eigen telefoonnummer dus niet eens in te vullen... Waarschijnlijk zijn relaties dan genoeg. De rest wordt er wel bij verzameld.

*sarcasm uit*
Ja.
https://play.google.com/s...mYWNlYm9vay5rYXRhbmEiXQ.. (Kijk bij Machtigingen > Telefoonoproepen > telefoonstatus en -identiteit lezen)

[Reactie gewijzigd door Koen T. op 22 juni 2013 11:17]

Fijn he, ongebreideld dataminen en werkelijk alle data matchen tot informatie... }>
Het is prachtige techniek maar gaat al snel voorbij persoonlijke privacy. Als persoon heb je gewoon geen idee hoeveel meer informatie de dataminers over je te weten komen als je een beperkte hoeveelheid gegevens invult.
En dan heb ik het nog niet over allerlei andere partijen die meekijken... :/
Het grootste probleem met facebook is dat jezelf de privacy instelling niet in de hand hebt.. maar vooral je vrienden!
M.a.w. je bent heel afhankelijk van de instellingen van je vrienden.

Voorbeeld1: je deelt iets met een vriend, dus plaats je iets op haar of zijn prikbord.
Jij (als poster), kan de instelling niet wijzigen wie dit bericht kan lezen, maar je vriend wel... (voor hetzelfde geld, kan hij dit staat hebben op "vrienden van vrienden".) Hetzelfde geldt met reacties die je plaatst...

Voorbeeld2: je bent bijvoorbeeld een fan van barbies (wat ik zeker NIET ben). Je vindt deze communitie of pagina leuk, onmiddellijk krijgen al je vrienden een melding dat je dat leuk vindt...
Dus moet je gaan vragen om aan je vrienden om wijzigen aan te passen, van wat ze willen volgen van jou... Dus jij hebt zelf niet in de hand wat ze van jou kunnen volgen...

Voorbeeld3: je vriend en jij spelen een spelletje... Alle gegevens kunnen weergeven aan al je vrienden, tenzij jullie dit afzetten in de applicatie...( maar daarvoor moet je toch wel heel wat zoeken).

Voorbeeld4: Als facebookgebruiker, kan je alles opnieuw delen! Dit kun je niet uitschakelen...
Stel dat je iets deelt met je vrienden en enkel met je vrienden alleen... Dit gaat gewoon niet, aangezien anderen gewoon op de knop delen kunnen kiezen... Dit is tegen jouw privacy instellingen!

Dit zijn nog maar enkele voorbeelden... Daarom dat ik persoonlijk de privacy instellingen van facebook totaal oncorrect vindt!

[Reactie gewijzigd door Broesie op 22 juni 2013 14:01]

Het rottigste vind ik nog dat je het zelfs niet eens in de hand hebt als je ervoor kiest helemaal geen Facebook te gebruiken! Alle voorbeelden die jij noemt kun je nog wel voorkomen door simpelweg geen Facebook te gebruiken (wat wat mij betreft wel de allerbeste optie is).

Maar dan nog kan iemand een foto van mij maken, op Facebook zetten en mij taggen zelfs als ik geen account heb. Vervolgens wordt dit wel mooi geïndexeerd door Google en andere zoekdiensten. Nu maakt dat met mijn naam nog niet eens zo uit, want die is redelijk veelgebruikt, maar als je een beetje een unieke naam hebt, kan men dus vrij gemakkelijk een foto van jou opzoeken.

En ik sta ook wel met naam, e-mailadres en telefoonnummer in de telefoonboek van andere mensen. Ik weet zeker dat die gegevens naar Facebook geüpload worden en "alvast" worden opgeslagen of iets dergelijks. Nogmaals, zonder dat ik dus zelf een account heb of daar ooit toestemming voor heb gegeven.

Moet je eens voorstellen hoe dat zometeen zal gaan als er een deel van de bevolking met zo'n akelige Google Glass op hun kop rondlopen en alles en overal videos en foto's van maken en massaal taggen en weet ik veel wat.

Het is allemaal ziekmakend, maar mensen hebben niet door hoe bezwaarlijk het allemaal wel niet is; het aantal Facebookleden groeit nog steeds. Belachelijk.
Betere titel voor dit bericht: Privacylek treft ALLE gebruikers van facebook. Altijd al zo geweest, zal altijd zo blijven.

Vanaf het moment dat je fb gebruikt lekt je privacy weg. Voor degenen die zich afvragen hoe fb in de eerste plaats aan hun telefoonnumber komt, natuurlijk door de "prachtige integratie" met je smartphone.

Als je dan toch fb moet gebruiken: Geef zo min mogelijk info over jezelf, slechts het strict noodzakelijke. Gebruik NIET de app op je telefoon, maar gewoon je browser.
Je suggereert hier een beetje 'eigen schuld'. Maar het gaat hier juist om informatie die mensen NIET op internet hebben gezet. Als ik een foto op internet zet dan weet ik dat die door anderen wordt bekeken (duh) en misschien ook opgeslagen en bewaard. Maar als Facebook ongevraagd mijn telefoonnummer bewaart via de App (dan heb ik dat nummer dus NIET ingevuld bij Facebook) en dat vervolgens door een bug publiek maakt, dan is dat een zeer ernstige zaak waar ik als gebruiker niks aan kan doen.
Hoe komt een App dan bij je contact gegevens als je geen toestemming hebt gegeven?
Dan heb je toch ergens keer een akkoord gegeven.
Ik denk niet dat dit de bedoeling was van Facebook. Er zal heus geen brainstorm sessie zijn geweest over hoe ze jouw gegevens kunnen lekken. In dit geval heeft Facebook direct het betreffende probleem opgelost door de download optie uit de lucht te halen en een persbericht verspreid.

Ik ben het met jou eens dat ook dit soort grote softwarebedrijven op de vingers moeten worden getikt indien het verzuimd jouw privacy te waarborgen, maar niemand is perfect en een fout in software is snel gemaakt. Wat ik wel vind is dat bij dit soort grootschalige datalekken er een onafhankelijk onderzoek moet plaats vinden om te kijken of Facebook hier aansprakelijk is door slecht beleid ter betrekking tot de privacy.
Voordat de fout optrad moest er al wel sprake zijn van een aantal omstandigheden:

• Gebruiker X moest slachtoffer Y van Facebook hebben gekregen als suggestie van mogelijke vriend (die suggestie krijg je niet zomaar, vandaar dat Facebook ook stelt dat het "waarschijnlijk alleen mensen die je buiten Facebook al kent" waren)
• Daarna moest gebruiker X dan ook nog eens een kopie van al zijn Facebook-gegevens downloaden. (Dat doet men ook niet bepaald elke dag. Ik heb het één keer gedaan, dat duurt vrij lang en dan krijg je een brij van tamelijk onhandig geordende gegevens)

In de set gegevens die je dan downloadt zit ergens teveel informatie gestopt. Alsnog slordig maar begrijpelijk dat men stelt dat dit niet heel vaak zal zijn voorgekomen.
En dat het in php wordt gescript, php is gewoon net zo veilig als ASPX hoor.
Alle turing complete talen zijn in principe even veilig. Het is een kwestie van of de programmeur er veilige code in kan en zal schrijven. En laat PHP nu juist een totaal verrotte standaard library hebben die uitnodigt om bad practices te gebruiken of subtiele bugs bevat waardoor beveiliging 'gewoon niet werkt'. (Bekijk het schandaal rondom 'crypt()' maar eens.)
Dus jij hebt er ook geen problemen mee als ik iedereen jouw adres ga geven? Dat dient toch bekend te zijn, anders ontvang je nooit post!

Aan wie jij je telefoonnummer geeft, moet je zelf kunnen bepalen. Het zelf kunnen bepalen, hoe jij daar invulling aan geeft, dát is privacy. Het is iets wat bij jou hoort, daar horen anderen zorgvuldig mee om te gaan.

Natuurlijk is dit lek geen grote verrassing, ieder weldenkend mens weet dat dit kan gebeuren.

Dat het desondanks wel erg is, geldt vooral voor mensen die denken dat er niets aan de hand is. Wacht maar tot je een keer je vakantie in het water ziet vallen omdat je een bepaalde grens niet overkomt, omdat één of ander geautomatiseerd jou in een bepaald hokje heeft geduwd... of je telefoon om die reden getapt wordt.... of je onvrijwillig mee mag doen als verdachte in een onderzoek zonder aanwijsbare reden... of een of andere Rus jouw simkaart kopieert en een torenhoge rekening verzorgt .... allemaal niet erg? Ik denk dat je tegen die tijd anders piept :)
Nou schrijf hier je telefoonnummer dan maar op. Dan weet iedereen het. Maakt jou niet uit. Niet gaan zeuren over vervelende telefoontjes en als het om een mobiel nummer gaat over nare smsjes en ander gezeik.
Ach zeg je, dan neem ik een nieuw nummer. Nee, dat is lekker handig. Moet je opnieuw aan iedereen je nummer doorgeven. En ook op dat nummer krijg je weer hetzelfde probleem want je neemt het met de privacy niet zo nauw.


De kans dat je telefoonnummer misbruikt wordt door een werknemer of zo is natuurlijk vele malen kleiner dan wanneer jouw nummmer overal bekend is.
Ik geef mijn nummer ook daar waar nodig is maar het is dan nog steeds mijn beslissing of ik mijn telefoonnummer/adres achterlaat of niet. Dat is toch heel wat anders dan dat het door wat voor dienst of site zo op straat wordt gegooid.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True