In mei vierde Mark Zuckerberg zijn 35e verjaardag. Gefeliciteerd! Zuckerberg heeft deze mijlpaal echter niet rustig gehaald. In plaats daarvan wordt hij geconfronteerd met een federaal onderzoek naar manieren om hem persoonlijk verantwoordelijk te houden voor het verkeerd beheer van de persoonlijke gegevens van gebruikers, terwijl Facebook-gerelateerde schandalen de krantenkoppen blijven halen. In dit bericht hebben we de 10 meest prominente mislukkingen van Facebook gecompileerd, waarbij misbruik van gegevens een rol speelt.

1. Cambridge Analytica: hoe het allemaal begon

Het begon allemaal met het Cambridge Analytica-schandaal. Begin 2018 leerden we voor het eerst met 100% zekerheid dat de gegevens en meningen die we via Facebook delen, zonder onze toestemming door een derde partij kunnen worden gebruikt. Cambridge Analytica’s oogst van de gegevens van 50 miljoen Facebook-gebruikers en het gebruik van die gegevens voor politieke reclame heeft de wereld geschokt, maar het was nog maar het begin. Om deze gebeurtenissen te bekijken, kunt u deze post lezen.

2. Facebook-punten gestolen

Een half jaar later, een ander schandaal haalde Facebook in: Gijzelaars konden verschillende kwetsbaarheden in Facebook uitbuiten en de toegangsmunten (die in feite een equivalent zijn van digitale sleutels waarmee mensen ingelogd blijven) van miljoenen Facebook-gebruikers stelen.

In totaal zijn bij 30 miljoen gebruikers de toegangspunten van 30 miljoen gebruikers gestolen. Voor 15 miljoen hebben malefactoren hun naam en contactgegevens opgevraagd. In 14 miljoen gevallen konden de aanvallers meer gedetailleerde informatie en de Facebook-activiteiten van de gebruikers zien. Van de overige 1 miljoen hebben de kapers geen toegang tot informatie gekregen. Facebook-gebruikers hoorden toen dat Facebook niet onneembaar is en dat hun accounts massaal gestolen konden worden zonder dat ze iets verkeerds deden.

3. Facebook- en Instagram-wachtwoorden worden blootgelegd

Als 30 miljoen niet genoeg was, kwam er nog een incident voor met honderden miljoenen Facebook- en Instagram-gebruikers. Begin 2019 maakte Facebook ons ervan bewust dat de interne processen met betrekking tot de beveiliging van gebruikersgegevens verre van perfect zijn. Het bedrijf gaf toe dat het een deel van de wachtwoorden voor Facebook- en Instagram-accounts in platte tekst opslaat. Ze drongen erop aan dat deze wachtwoorden alleen zichtbaar waren voor werknemers en dat niemand misbruik maakte van hun toegangsrechten.

Op dit moment is het exacte aantal betrokken gebruikers nog niet bekend. Ten eerste merkte het bedrijf op dat het probleem honderden miljoenen Facebook Lite gebruikers, tientallen miljoenen gewone Facebook gebruikers en tienduizenden Instagram gebruikers bij het probleem betrokken waren. Een maand later wijzigde het zijn commentaar om te zeggen dat het probleem (nu gepatcht) niet tienduizenden, maar miljoenen Instagram-gebruikers betrof.

4. Instagram-wachtwoorden opnieuw blootgelegd

Eigenlijk was dat niet de eerste keer dat Instagram-gebruikers erachter kwamen dat hun wachtwoorden konden lekken. Enkele maanden eerder werd ontdekt dat Instagram’s “Download Your Data” functie een beveiligingslek bevatte (nu gepatcht) dat per ongeluk een aantal Instagram wachtwoorden had kunnen blootleggen. Als iemand zijn of haar inloggegevens indiende om de functie te gebruiken, werd zijn of haar wachtwoord opgenomen in een URL in zijn of haar webbrowser en – opnieuw – in platte tekst opgeslagen op de servers van Facebook.

5. Facebook gevraagde e-mail wachtwoorden en geschrapte contacten

Facebook schrapte de e-mailcontacten van 1,5 miljoen gebruikers zonder hun toestemming. Wacht, het is eigenlijk een beetje ingewikkelder dan dat. Hier is het verhaal: Facebook vroeg een deel van de nieuwkomers om hun identiteit te verifiëren door middel van wachtwoorden voor hun e-mailaccounts. Toen het nieuws uitbrak, dachten velen dat het een aprilgrap was; geen enkele slimme internetgebruiker kon zich zelfs maar voorstellen dat een derde partij toegang zou krijgen tot hun e-mailcommunicatie. Helaas was het geen grapje. En velen vielen ervoor. Facebook stond erop dat het geen toegang had tot de inhoud van de e-mails van de gebruikers, maar schepte – onbedoeld – hun e-mailcontacten op. In totaal zijn de adresboeken van 1,5 miljoen gebruikers geoogst. Maar gezien het feit dat de contactlijsten van mensen honderden contacten kunnen hebben, kan het uiteindelijke aantal van degenen van wie de contactgegevens op deze manier zijn verkregen in de tientallen miljoenen liggen. Het bedrijf zegt dat het de gegevens gebruikt heeft om het targeten van advertenties te verbeteren, Facebook’s web van sociale connecties op te bouwen en nieuwe vrienden aan te bevelen aan gebruikers.

6. 2FA met Facebook, een tool voor adverteerders

Natuurlijk willen we allemaal onze boekhouding veilig houden, en twee-factor authenticatie lijkt een ideale manier om dat te doen. Maar ook hier doen zich mogelijke problemen voor. Het telefoonnummer dat u bijvoorbeeld opgeeft wanneer u de twee-factor authenticatie voor uw Facebook-account inschakelt, wordt automatisch gekoppeld aan uw profiel – zonder een opt-out optie. Zo kan iedereen, ongeacht of hij/zij al dan niet een account heeft, op basis van dit telefoonnummer uw gebruikersprofiel opzoeken. Bonus: Facebook kan zich ook richten op het nummer met advertenties.

7. Uw contacten zijn nooit veilig voor adverteerders

Zoals we hierboven al eerder zeiden, gaven Facebook en Instagram adverteerders toegang tot contactinformatie die gebruikers niet eens op Facebook hadden opgeslagen! Met andere woorden, adverteerders waren (en zijn waarschijnlijk nog steeds) gericht op ons en vertrouwden niet alleen op de e-mailadressen en telefoonnummers die we op onze “contact- en basisinformatie”-pagina aangeven, maar ook op andere gegevens.

Deze gegevens kunnen het telefoonnummer omvatten (indien van toepassing) dat u voor 2FA-doeleinden heeft opgegeven en de ongewenste e-mailadressen die u opgeeft voor kortingen of voor heimelijk online winkelen. Ook, als een van uw contacten ervoor kiest om hun contacten te delen (“synchroniseren”) met Facebook of hun adresboek te uploaden naar Facebook – om “vrienden te vinden” – en hun contactlijst bevat een telefoonnummer van u, zelfs als u die informatie nooit ergens op Facebook hebt ingevoerd, zullen adverteerders in staat zijn om u te bereiken met een advertentie met behulp van dat telefoonnummer.

8. Meer Facebook-gegevens gedeeld met adverteerders

Facebook tikte op de gegevens van gebruikers als hefboom voor bedrijven waarmee het samenwerkte, gelekte interne documenten lieten zien. Amazon.com, dat aanzienlijke bedragen uitgeeft aan Facebook-reclame, kan bijvoorbeeld de namen en e-mailadressen van gebruikers verkrijgen via hun vrienden (net als Sony, Microsoft en vele anderen).

Microsoft’s Bing zoekmachine mocht de namen van vrijwel al onze Facebook-vrienden zien zonder onze (of hun) toestemming. Netflix, Spotify en de Royal Bank of Canada kregen het recht om onze privéberichten te lezen, te schrijven en te verwijderen en alle deelnemers op een draadje te zien. Apple-apparaten hadden toegang tot de contactnummers en agenda-items, zelfs van mensen die hun accountinstellingen hadden gewijzigd om alle delen uit te schakelen.

De betrokken bedrijven verklaarden dat ze nooit misbruik hadden gemaakt van de gegevens waartoe ze toegang hadden, en sommigen zeiden dat ze niet eens wisten dat ze zulke “uitgebreide” rechten hadden.

9. Facebook Marketplace lekte de exacte locaties van de verkopers uit.

Een fout (nu gepatcht) in de digitale marktplaats van Facebook was het blootleggen van de exacte locaties van de verkopers (exacte lengte- en breedtegraadcoördinaten), en dus ook van hun goederen. Om de locatie te zien, was het niet eens nodig om in te loggen op Facebook, waardoor sommige onderzoekers de service “een boodschappenlijstje voor dieven” noemden. Dat was vooral zorgwekkend voor degenen die dure fietsen verkochten, omdat die een smakelijk hapje zijn voor criminelen, en Marketplace gaf die fietsen in principe weg aan hen door de locatie van de verkopers bloot te leggen.

10. Ontmaskerde Facebook-gegevens – door een derde partij

Op het open web zijn twee databases met informatie van Facebook-gebruikers gevonden, waarin de gegevens in platte tekst zijn opgeslagen, zodat absoluut iedereen ze kan openen en downloaden. Eén set gegevens kwam van een Facebook-game-applicatie genaamd “At the Pool”, die lang geleden in onbruik is geraakt. De tweede, met meer dan 540 miljoen platen, was van Cultura Colectiva, een Mexicaans mediabedrijf dat in heel Latijns-Amerika actief is. Beide blootgestelde databases opgenomen de namen en e-mailadressen van gebruikers, hun vrienden lijsten, houdt, opmerkingen en allerlei details die dienen als middel om voorkeuren en belangen te analyseren.

Hoewel de informatie niet bijzonder gevoelig was en de eigen medewerkers van Facebook niets te maken hadden met de onthulling, stelden ze (opnieuw) vragen over de manier waarop Facebook de gegevens van gebruikers deelt met derden en deden ze denken aan het Cambridge Analytica-schandaal dat het startschot was voor deze post.

Bron: Blog Kaspersky