Facebook wil nieuws over lekken normaliseren, nieuw datalek duikt op

Abonneer je gratis op Techzine!

Facebook wil de aandacht van zijn recente datalek afleiden door een beeld te creëren dat scrapingincidenten in de gehele sector voorkomen. Ondertussen is er een nieuwe tool boven water gekomen waarmee de e-mailadressen van Facebook-gebruikers te achterhalen zijn.

De nieuwe mediastrategie blijkt uit een interne e-mail die in handen is van Data News. De mail was afkomstig van de communicatieafdeling van Facebook en was bedoeld voor de pr-afdeling van de EMEA-regio. Uit de mail blijkt dat Facebook niet van plan is om extra verklaringen af te leggen over het recente datalek waarbij onder andere telefoonnummers van ruim een half miljard Facebook-gebruikers op straat kwamen te liggen. Door stil te blijven over het probleem, hoopt Facebook dat de media-aandacht over het datalek vanzelf weer terugneemt.

Nieuws over datascraping normaliseren

Echter beschrijft de e-mail ook een langetermijnstrategie. Daarbij wil Facebook het idee de wereld in brengen dat datascraping een algemeen probleem is dat de hele sector raakt. De focus moet daarom meer komen te liggen op het werk dat Facebook al doet om datascraping tegen te gaan. Door daar transparanter over te zijn, wil het bedrijf kritiek tegengaan dat het niet transparant zou zijn over specifieke incidenten.

Dat de scraping van gebruikersgegevens een probleem is dat breder in de markt voorkomt, heeft Facebook gelijk in. Dat werd bewezen toen enkele dagen na het Facebook-datalek ook de gegevens van een half miljard LinkedIn-gebruikers online te koop werden aangeboden. Ook hierbij was de informatie bij elkaar gescharreld door profielen van het platform te scrapen. Hetzelfde overkwam Clubhouse. Daarvan verschenen 1,3 miljoen gebruikersgegevens op een hackerforum.

De manier dat Facebook met het datalek is omgegaan, kan het bedrijf echter wel degelijk kwalijk genomen worden. Het bedrijf werd begin 2017 al door een ethisch hacker op de hoogte gebracht dat het mogelijk was om in groten getale telefoonnummers van Facebook-gebruikers te achterhalen. Facebook deed echter alsof het geen groot probleem was en kwam pas na meer dan een jaar met maatregelen. Deze maatregelen waren klaarblijkelijk niet voldoende, want pas in augustus 2019 werd het probleem echt opgelost. De uitgelekte gegevens stammen uit 2019.

Nieuwe tool om Facebook-profielen aan e-mailadressen te koppelen

In de e-mail vertelde Facebook al dat het bedrijf verwachtte dat vergelijkbare incidenten zich vaker voor zouden doen. Ironisch genoeg hoefde het bedrijf daar niet lang op te wachten. Deze week is er een tool verschenen waarmee de e-mailadressen van Facebook-gebruikers achterhaald kunnen worden. De tool is ontwikkeld door onderzoeker en draagt de naam Facebook Email Search v1.0. Met de tool is het mogelijk om de Facebook-accounts te koppelen aan tot 5 miljoen e-mailadressen per dag.

De onderzoeker laat aan ArsTechnica zien hoe hij met een vertrouwde Facebook-account in staat is om in een paar minuten uit een lijst van 65.000 e-mailadressen, daar 6000 van weet te linken aan de bijbehorende Facebook-gebruikers. Blokkeert Facebook de gebruikte account, kan de onderzoeker eenvoudig overstappen naar een ander adres. De onderzoeker wist voor een tientje aan 250 bruikbare Facebook-accounts te komen.

De onderzoeker heeft Facebook ingelicht over het kwetsbaarheid, maar het sociale medium vond die aanvankelijk niet belangrijk genoeg om op te lossen. Daarom deelde hij zijn verhaal met Ars Technica, onder de voorwaarde dat hij anoniem mocht blijven. Nadat Ars Technica contact met Facebook opnam, kwam het platform pas in actie.

Facebook zegt in een verklaring: “Het lijkt erop dat we dit bugbounty-rapport per ongeluk hebben afgesloten voordat het naar het juiste team is doorgestuurd. We waarderen het dat de onderzoeker de informatie heeft gedeeld en nemen de eerste maatregelen om dit probleem te mitigeren en de bevindingen beter te doorzien.”

Inmiddels heeft Facebook de kwetsbaarheid opgelost door de techniek die gebruikt is door de onderzoeker, af te sluiten. Toch is het opvallend dat de kwetsbaarheid eerst in het nieuws moest worden gedeeld, voordat Facebook over ging tot ingrijpen.

Tip: Ierland start onderzoek naar Facebook-datalek