Vlaamse ethische hacker ontdekt datalek via "persoonlijkheidstestjes" op uw tijdslijn, Facebook reikt premie uit

Kwisjes verpakt als persoonlijkheidsspelletjes op sociale media en internet zijn immens populair. U kent ze: "Wat is de oorsprong van jouw achternaam?" of "Wat onthullen je ogen?". Meer nog: "Hoe zou jij eruitzien als schoonheidskoningin?". De lijst is oneindig. Eén van die ontwikkelaars achter de spelletjes is het Duitse "Social Sweethearts" met zijn app "Nametests". Een app die meer dan 120 miljoen maandelijkse gebruikers heeft, ook Belgen.

Om de spelletjes te spelen, moet je inloggen via Facebook. De kwisjes gebruiken je Facebookfoto's. "En daar loopt het al mis", zegt ethisch hacker Inti De Ceukelaire. (Een '"ethisch hacker" is iemand die computersystemen test met goede bedoelingen, nvdr.) "De app heeft voor veel spelletjes toegang tot je foto's, maar kan ook aan je persoonlijke gegevens en foto's op Facebook die niet voor iedereen toegankelijk zijn. Wie ooit een testje deed, was mogelijk niet langer anoniem op het internet. Je moest nadien maar naar een andere website surfen en dan konden de ontwikkelaars van die andere website die je bezocht, via een veiligheidslek jouw gegevens bij "NameTests" bemachtigen.  Die gegevens moeten bij Facebook en de bewuste apps blijven. Toch zijn ze jarenlang toegankelijk geweest voor derden. En dat is tegen de voorwaarden van Facebook."

(lees verder onder de screenshots)

Na het dataschandaal met Cambridge Analytica lanceerde Facebook het "Data Abuse Bounty Program", een meldpunt waar computerspecialisten zoals De Ceukelaire misbruik van data kunnen aankaarten. Om zeker te zijn dat hij een datalek had ontdekt, ontwikkelde De Ceukelaire een kleine website en logde hij in om een spelletje te spelen. Nadien kon hij via die site zijn eigen Facebookgegevens bekijken.  Zo hadden ook ontwikkelaars van websites mogelijk jarenlang toegang tot de persoonlijke data van miljoenen mensen, zoals geslacht, statusupdates, privéfoto's, geboortedatum en je FacebookID. Ook konden ontwikkelaars nog aan bepaalde gegevens van mensen die de app ooit installeerden en weer verwijderd hadden.

"Je surft niet meer anoniem en dat zet de deur open voor misbruik. Stel dat je expliciete sites bezoekt, dan kan iedereen die aan jouw gegevens kan, je chanteren. Maar ook zijn jouw gegevens perfect te gebruiken in politieke campagnes. Je wilt toch niet dat zomaar iedereen weet wie jij bent, wanneer je geboren bent, wie je familie of vrienden zijn? Wie de app heeft verbonden met zijn Facebookprofiel, kan die voor de zekerheid best verwijderen."

Lees verder onder de video waarin De Ceukelaire toont hoe hij het lek ontdekte. De Ceukelaire legt het veiligheidsprobleem ook uit in een blogpost.

Via een bericht aan De Ceukelaire erkent Facebook dat er een probleem was met "NameTests". Facebook zegt ook dat het probleem intussen is verholpen. Het bedrijf liet ook weten dat het als dank 4.000 dollar zou storten aan De Ceukelaire. Omdat De Ceukelaire zelf gevraagd heeft dat zijn beloning aan een goed doel wordt gegeven, verdubbelde Facebook het bedrag. Zo zal Facebook 8.000 dollar storten aan Freedom of The Press Foundation, een organisatie die onderzoeksjournalistiek stimuleert. 

(lees verder onder het screenshot)

Het veiligheidslek doet denken aan het schandaal met Cambridge Analytica, ook daar werden gegevens van mogelijk 87 miljoen mensen wereldwijd bemachtigd via een kwisje. "Bij dat schandaal zijn gegevens van miljoenen mensen bezorgd aan één bedrijf. Hier kon je als ontwikkelaar alleen maar aan de gegevens van mensen als die ook jouw website hadden bezocht. Mogelijk zijn er wel meer Belgen bij betrokken."

Of de data zijn gebruikt en/of misbruikt, zoals met het Cambridge Analytici-schandaal, weet De Ceukelaire niet. "Ik heb op dit moment geen aanwijzingen dat dit een bewust lek is. Ook of er effectief data zijn vrijgekomen, weet ik niet. Maar het lek was zo gemakkelijk te vinden op een website die maandelijks, volgens de CEO Daniel Minini, 3 miljard pageviews haalt. En dat roept toch wel vragen op over privacy en de veiligheid van Facebookapps."

Het Duitse bedrijf Social Sweethearts laat in een reactie aan VRT NWS weten dat er een potentieel lek was, maar dat er geen sprake is van misbruik. Thomas Schwenke, data protection officer: "We hebben de zaak grondig onderzocht. Het onderzoek heeft uitgewezen dat er geen bewijs is gevonden dat persoonlijke gegevens van gebruikers in handen zijn gekomen van "niet-geautoriseerde derde partijen" en dat er bovendien geen bewijs is dat data is misbruikt. Niettemin nemen we data security serieus en we nemen op dit moment maatregelen om in de toekomst risico's te vermijden."

update:
Ook Facebook reageert intussen met een statement: “Een onderzoeker heeft ons geïnformeerd over de kwestie met de website nametests.com via ons Data Abuse Bounty Program. Dat is het premieprogramma voor gegevensmisbruik dat we in april lanceerden om meldingen over Facebookgegevens te stimuleren. We hebben samengewerkt met nametests.com om de kwetsbaarheid van hun website op te lossen, en dat is afgewerkt in juni.” - Ime Archibong, Facebook