Hackers maken gegevens 50 miljoen Facebook-gebruikers buit

Afgelopen weekend heeft Facebook bekend gemaakt dat bij een veiligheidsprobleem de gegevens van bijna vijftig miljoen gebruikers zijn buitgemaakt. Het is nog niet helemaal duidelijk hoe de hack precies plaatsvond, maar het heeft te maken met een kwetsbaarheid in de manier waarop de Weergeven als-functie werkt.

In een blog schrijft Guy Rosen, vicepresident van productmanagement bij Facebook, dat het onderzoek naar de hack nog in een vroeg stadium verkeert. “Maar het is duidelijk dat hackers een kwetsbaarheid in de Facebook-code rond de Weergeven als-functie uitgebuit hebben.”

Wat er mis ging

De Weergeven als-functie stelt Facebook-gebruikers ertoe in staat om te bekijken hoe hun profiel er voor iemand anders uitziet. Zo kan je beter zien welke impact bepaalde privacyinstellingen hebben en de layout bekijken als je iets verandert. Simpel gezegd, is het een snelle manier om te controleren of alles wat je niet openbaar wil hebben, ook echt niet openbaar wordt.

Volgens Rosen stelde de kwetsbaarheid de aanvallers ertoe in staat om ‘access tokens’ van gebruikers te stelen. Die tokens kunnen gebruikt worden om andermans account mee over te nemen. “Access tokens zijn het equivalent van digitale sleutels die ervoor zorgen dat mensen ingelogd blijven op Facebook, zodat ze niet elke keer als ze de app openen opnieuw hun wachtwoord moeten invoeren.”

Maatregelen genomen

Het lek werd afgelopen dinsdag gevonden en volgens Rosen hebben de ontwikkelaars van het platform snel maatregelen genomen. Facebook heeft niet alleen het lek gedicht, maar ook meteen de nodige wettelijke stappen genomen. Om de veiligheid van de gebruikers die te maken hebben met het lek te garanderen, zijn de access tokens van al deze mensen gereset.

Maar Facebook heeft het nog een stap verder genomen en ook meteen de tokens van alle veertig miljoen extra accounts die gebruik hebben gemaakt van de Weergeven als-functie gereset. Er zijn dus negentig miljoen mensen die opnieuw moeten inloggen op Facebook om hun tokens te resetten. Dat heeft invloed op alle Facebook-apps en locaties waar een gebruiker ingelogd staat. Tot slot staat de Weergeven als-functie tijdelijk uit, zodat extra maatregelen genomen kunnen worden.

Onhandige timing

Het is nog niet duidelijk  wie de hackers zijn en met welke intentie ze ingebroken hebben op de servers van Facebook. Rosen stelt dat als uit onderzoek blijkt dat meer accounts getroffen zijn, ook van deze accounts de tokens gereset zullen worden. Kortom: het bedrijf stelt in elk geval alle nodige stappen te ondernemen om te voorkomen dat er meer mensen slachtoffer zijn.

Hoe dan ook is de timing niet heel handig voor het sociale medium. Facebook heeft de afgelopen tijd regelmatig te maken gehad met problemen rond de bescherming van gegevens van zijn gebruikers. Denk bijvoorbeeld aan het recente schandaal rond Cambridge Analytica. Ook zijn er de voortdurende zorgen rond de verspreiding van nepnieuws via het platform van Mark Zuckerberg.