Facebook kreeg voor megalek meerdere waarschuwingen over kwetsbaarheid, maar negeerde die volledig

Onderzoekers hebben Facebook jarenlang gewaarschuwd dat hun systeem zeer kwetsbaar was voor misbruiken. Pas in 2019 liet het bedrijf weten het issue opgelost te hebben, maar tegen dan waren al 533 miljoen gegevens van gebruikers gestolen. Die raakten recent ook publiek waaruit bleek dat meer dan 3,2 miljoen Belgen getroffen waren.

Iets meer dan een week geleden raakte bekend dat de persoonlijke gegevens van honderden miljoenen Facebook-gebruikers volledig gratis terug te vinden waren een relatief onbekend forum voor hackers. Het gaat om data van 533 miljoen gebruikers uit 106 landen met daarbij ook bijna 3,2 miljoen Belgen (check hier of je erbij bent).

Via importeren telefooncontacten

Facebook kwam even later met een verklaring waarin ze lieten weten dat de persoonlijke data verkregen was via een lek dat ze in 2019 al hadden gedicht. Uit onderzoek van Business Insider blijkt nu echter dat Facebook al veel langer op de hoogte was van de kwetsbaarheid van dat systeem.

De persoonlijke gegevens zouden geschraapt zijn via verschillende tools voor het opzoeken contacten op Facebook van telefoonnummers. Door het importeren van telefooncontacten van je smartphone naar de applicatie van Facebook kan je zien wie van die contacten op Facebook zit. Dezelfde tool bestaat overigens ook in WhatsApp.

WhatsApp

Door een fictief adressenboek met gigantisch veel nummers erin te maken, kunnen hackers dat systeem echter gebruiken om persoonlijke gegevens van al die telefoonnummers te zien en te schrapen. Een academische paper voor het Network and Distributed System Security Symposium toonde in 2012 – twee jaar voor Facebook WhatsApp opkocht – al aan hoe kwetsbaar dat systeem was bij WhatsApp. Door 10 miljoen nummers te importeren, kregen de onderzoekers zo persoonsgegevens van 21.095 gebruikers.

Vijf jaar later toonde een ander team onderzoekers aan dat hetzelfde principe ook bij Facebook kon gebruikt worden. Zij wisten toen gegevens van 80.000 gebruikers te bemachtigen. Hun bevindingen werden gepubliceerd in ISPEC 2017: Information Security Practice and Experience.

Trage reactie Facebook

In 2019 ontdekten de Duitse wetenschappers Christoph Hagen, een onderzoeksassistent aan de Universiteit van Würzburg, en Christian Weinert, een doctoraal onderzoeker aan de TU Darmstad, dat het probleem na al die jaren nog niet opgelost was. Zij besloten daarop contact op te nemen met Facebook in het kader hun Bug Bounty-programma. Een systeem waarbij hackers een beloning krijgen als ze een lek melden.

Zo eenvoudig bleek dat echter niet want aanvankelijk minimaliseerde het bedrijf hun bevindingen. Pas na veel pogingen kreeg Hagen toch iemand te pakken die hun kon overtuigen van het gevaar van het lek. Uiteindelijk duurde het maar liefst tien maanden voor Facebook het probleem aanpakte. Al die tijd bleef Facebook vragen aan Hagen en Weinert om hun onderzoek niet te publiceren. Uiteindelijk kregen beide heren samen toch 5.000 dollar (4.200 euro) van Facebook en konden ze hun bevindingen publiceren.

Meer