‘Data 540 miljoen Facebook-gebruikers gelekt door misconfiguratie’

De gegevens van zeker 540 miljoen Facebook-gebruikers – en mogelijk meer – bleken openbaar beschikbaar te zijn via verkeerd geconfigureerde Amazon Web Services (AWS) instances. Dat hebben beveiligingsonderzoekers van UpGuard ontdekt. De meeste gegevens werden gelekt via het Mexicaanse mediabedrijf Cultura Colectiva.

Op de server van Cultua Colectiva bleken onder meer gebruikersnamen, reacties en likes te staan, meldt Silicon Angle. Ook vonden de onderzoekers een server van een app genaamd At the Pool. In die database stonden details van 22.000 Facebook-gebruikers, maar daaronder vielen ook wachtwoorden die opgeslagen waren als normale tekst.

In beide gevallen bleken de gegevens opgeslagen op Amazon S3 instances, die publiekelijk toegankelijk waren. Iedereen die de databases online kon vinden, kon de gegevens inzien en downloaden. Inmiddels zijn beide databases aangepast, waardoor ze niet meer publiekelijk toegankelijk zijn. De onderzoekers wijzen echter wel uit dat ze in januari al contact op hadden genomen met Cultura Colectiva en AWS, maar dat de database online bleef tot het verhaal naar buiten kwam.

“Het publiek realiseert zich nog niet dat de mensen die deze gegevens bewaren – systeembeheerders en ontwikkelaars van hoog niveau – risicovol gedrag vertonen of lui zijn of zaken afraffelen”, aldus Chris Vickery, directeur van UpGuard, tegenover Bloomberg. “Er wordt niet genoeg aandacht besteed aan de beveiligingskant van big data.”

Data gedeeld door Facebook

De twee organisaties kregen al die data in handen via Facebook zelf. Het sociale medium deelde dergelijke gegevens namelijk jarenlang met ontwikkelaars van derde partijen. Iedereen die een app maakte op het platform, kon informatie in handen krijgen over de mensen die de app gebruiken en de vrienden van die gebruikers.

Dat veranderde ongeveer een jaar geleden, toen bekend werd dat Cambridge Analytica dergelijke data ook in handen had gekregen en het gebruikte om publieke profielen op te stellen.

UpGuard vond echter in totaal 100.000 openbaar gehoste databases op Amazon voor verschillende soorten data. Van een aantal van die databases heeft het bedrijf het vermoeden dat ze niet openbaar zouden moeten zijn. Het probleem kan dus groter zijn dan alleen de twee databases die nu gemeld en gesloten zijn.

Reactie Facebook

Een woordvoerder van Facebook zegt tegenover Bloomberg dat het tegen het beleid van het sociale medium in gaat om informatie op te slaan in een openbare database. Zodra het bedrijf op de hoogte werd gesteld van het probleem, werkte het samen met Amazon om de databases offline te halen.