Nadat vorige maand 500 miljoen telefoonnummers van Facebookgebruikers lekten, heeft Facebook nu te maken met een nieuwe privacycrisis. Een tool koppelt op grote schaal Facebook accounts aan de bijbehorende e-mailadressen. Zelfs gebruikers die hebben aangevinkt dat hun e-mailadres geheim moest blijven, worden aangetast.
Deze week circuleerde een video waarin een onderzoeker laat zien hoe de tool, genaamd Facebook Email Search v1.0 werkt. Hij liet zien hoe hij Facebookaccounts met tot wel 5 miljoen e-mailadressen per maand kon linken. De onderzoeker vertelde dat hij de fout openbaar maakte nadat Facebook hem vertelde dat de kwetsbaarheid niet belangrijk genoeg was om iets aan te doen.
In de video liet de onderzoeker zien dat hij 65.000 e-mailadressen inlaadde in de tool. In de output log kreeg hij heel wat resultaten te zien. Hij liet weten dat hij zo’n 10 dollar had betaald om 200 nieuwe Facebook accounts te kopen. Binnen drie minuten rolden er 6000 e-mailaccounts uit de tool.
Facebook geeft fout toe
Via een statement geeft Facebook toe het bug bounty rapport eerder onterecht te hebben gesloten. Facebook geeft aan te waarderen dat de onderzoeker de informatie deelt en actie neemt om om het probleem te beperken. Verder laat de social media gigant weten opnieuw contact op te nemen met de onderzoeker om zijn bevindingen verder te bespreken.
De woordvoerder van Facebook gaf geen antwoord op de vraag of het bedrijf eerder beweerde dat de kwetsbaarheid niet belangrijk genoeg was. Wel vertelt hij dat Facebook engineers het lek heeft verholpen door de techniek die te zien is in de video uit te schakelen.
Weinig actie vanuit Facebook
Eerder dit jaar had Facebook te maken met een vergelijkbare kwetsbaarheid waarbij 533 miljoen telefoonnummers van Facebook gebruikers op straat kwamen te liggen. Deze kwetsbaarheid is uiteindelijk opgelost. Daarom verbaast het de onderzoeker dat Facebook bij het nieuwe datalek niet direct actie ondernam.
Het is niet bekend of er actief misbruik wordt gemaakt van de bug om een enorme database met gegevens van Facebookgebruikers op te bouwen. Maar het zou geen verrassing zijn als dat wel het geval blijkt te zijn. “Ik geloof dat dit een gevaarlijke kwetsbaarheid is en ik zou graag helpen om dit te stoppen”, concludeert de onderzoeker.
Gisteren ontdekte DataNews nog via een gelekte interne mail dat Facebook dergelijke veiligheidslekken wil normaliseren. “Op lange termijn verwachten we meer scraping-incidenten en het is belangrijk om dat als een sectorprobleem te framen en te normaliseren dat het regelmatig gebeurt”, staat in die mail. Gecombineerd met de aanvankelijk genegeerde bug-rapportage bij dit nieuwe incident, illustreert het hoe weinig ambitie Facebook heeft om misbruik van gebruikersdata tegen te aan, zelfs al beweren Zuckerberg en de zijnen steevast het omgekeerde via algemene statements.