Lekker dan

Facebook vooraf gewaarschuwd voor enorm datalek

10 februari 2020 om 09:29
Laatste update: 10 februari 2020 om 10:03

Facebook wist al een jaar van een kwetsbaarheid die heeft geleid tot één van de grootste datalekken in de geschiedenis van het bedrijf.

Dat blijkt uit rechtbankdocumenten die The Telegraph in handen heeft. Het bedrijf is meermaals gewaarschuwd door zowel eigen personeel als externe veiligheidsexperts.

Het gaat om een lek dat in september aan het licht kwam, waarbij de telefoonnummers en e-mailadressen van 29 miljoen mensen werden gestolen. Van 14 miljoen van die mensen kwam ook gevoelige persoonlijke informatie op straat, wat bijvoorbeeld identiteitsdiefstal mogelijk maakte. Bij het lek werden zo'n 3 miljoen inwoners van de EU getroffen.

Tokens makkelijk te stelen

Zogenoemde toegangstokens maakten het lek mogelijk. Met zulke tokens kunnen apparaten of apps makkelijk toegang krijgen tot het account van de Facebook-gebruiker zonder dat die hoeft in te loggen.

Die tokens konden echter vrij makkelijk door criminelen worden gestolen, waarschuwden medewerkers al in december 2017. Die medewerkers zouden zich nu schuldig voelen omdat zij wisten van een aanval die afgewend had kunnen worden. Volgens een medewerker werden de waarschuwingen "vrijwel allemaal genegeerd".

Grote zorg zou de brede toegang van de tokens zijn geweest. Zelfs voor het uploaden van een video uit een app van derden, gaf Facebook tokens die volledige toegang tot gegevens van gebruikers verschafte, zonder verloopdatum.

'Uitzonderlijke situatie'

Een woordvoerder van Facebook zegt tegen The Telegraph dat het bedrijf waarschuwingen niet genegeerd heeft, en dat zijn technici ten tijde van het lek al aan een oplossing werkten.

De problemen met de tokens zouden geen hoge prioriteit hebben gekregen omdat die op zichzelf geen lek konden veroorzaken. Dat ze door een lek toch gestolen werden, is volgens Facebook te wijten aan een "uitzonderlijke combinatie van verschillende storingen waar het bedrijf niet op had gerekend".

De rechtbankverslagen met de bekentenissen van Facebook-medewerkers komen uit een gezamenlijke rechtszaak in de VS. Een groep consumenten heeft Facebook aangeklaagd omdat het bedrijf volgens hen niets heeft gedaan om privé-informatie van gebruikers te beschermen. "Facebook verkoos geld boven veiligheid", stelt de aanklacht van de groep consumenten.

Facebook heeft geschikt

Hoewel Facebook blijft ontkennen, heeft het vorige maand wel geschikt in de zaak. Daarbij bestaat Facebook geen schadevergoeding, maar worden wel de juridische kosten van de aanklagers door Facebook afgelost.

De schikking eist wel van Facebook dat het de betreffende kwetsbaarheden repareert. Ook moet Facebook een beveiligingsplan opzetten om toekomstige aanvallen te voorkomen. Dat plan moet elke vijf jaar door een onafhankelijke partij worden gecontroleerd.

Tips: pas deze Facebook-settings aan

Volg Bright op YouTube voor meer tech-video's