Facebook heeft recent niet het beste track record gehad als het gaat om gebruikersbeveiliging en hoewel nieuws recentelijk is afgenomen van overtredingen, lijkt het erop dat de trend weer is opgestart.
TechCrunch heeft het rapport deze week, waarin wordt beschreven hoe een server niet was beschermd zoals het had moeten zijn, en als gevolg daarvan waren telefoonnummers gekoppeld aan Facebook-accounts online gelekt. Volgens het rapport was de server niet beveiligd met een wachtwoord, waardoor deze voor iedereen toegankelijk was.
Als gevolg hiervan was er toegang tot honderden miljoenen telefoonnummers van Facebook-gebruikers, tot 419 miljoen. Alleen al in de Verenigde Staten waren er 133 miljoen records. 50 miljoen records werden ontdekt van Facebook-gebruikers in Vietnam, 18 miljoen records kwamen van gebruikers in het Verenigd Koninkrijk.
Het telefoonnummer was niet de enige gevoelige informatie op de server, omdat elk account ook de unieke Facebook-ID bevatte.
De blootgestelde server bevatte meer dan 419 miljoen records over verschillende databases van gebruikers in verschillende regio's, waaronder 133 miljoen records van Amerikaanse Facebook-gebruikers, 18 miljoen records van gebruikers in het Verenigd Koninkrijk en een andere met meer dan 50 miljoen records van gebruikers in Vietnam.
Maar omdat de server niet met een wachtwoord was beveiligd, kon iedereen de database vinden en openen.
Elk record bevatte een unieke Facebook-ID van de gebruiker en het telefoonnummer dat in het account werd vermeld. De Facebook-ID van een gebruiker is meestal een lang, uniek en openbaar nummer dat aan zijn account is gekoppeld en dat gemakkelijk kan worden gebruikt om de gebruikersnaam van een account te onderscheiden.
Het is echter vermeldenswaard dat het meer dan een jaar geleden is sinds Facebook de toegang tot telefoonnummers beperkte. Als gevolg daarvan dateerde deze specifieke server voorbij dat, en Facebook beweerde zelfs dat de dataset die op de server aanwezig was, oud was:
Deze dataset is oud en lijkt informatie te hebben verkregen voordat we vorig jaar wijzigingen aanbrachten om het vermogen van mensen om anderen te vinden met hun telefoonnummers te verwijderen ”, aldus de woordvoerder. “De dataset is verwijderd en we hebben geen bewijs gezien dat Facebook-accounts zijn aangetast.
Gegevens op deze manier opslaan is helaas niet ongehoord. Door dit specifieke probleem kunnen personen met blootgestelde telefoonnummers het risico lopen om nog meer spamoproepen te ontvangen dan ze mogelijk al ontvangen. Bovendien zijn SIM-swapping-aanvallen, waardoor iemand een koerier kan misleiden om het telefoonnummer van een snode persoon aan iemand anders te geven, ook mogelijk.
Dit is niet noodzakelijk een enorme inbreuk, maar het laat wel zien hoe belangrijk het is om deze servers te vergrendelen waar mogelijk gevoelige informatie kan worden opgeslagen. Het op deze manier open laten staan zonder dat er een wachtwoord aanwezig is, is zeer riskant.