Facebook-bug liet andere websites je likes en interesses zien

Facebook

Facebook heeft een fout gerepareerd waardoor iedere website informatie van je profiel kon halen, zonder dat je het doorhad. Het ging onder meer om je likes en interesses, meldt TechCrunch. De fout werd gevonden door Ron Masas, een beveiligingsonderzoeker bij Imperva.

Masas ontdekte dat de zoekresultaten op het sociale medium niet goed beschermd waren tegen zogenaamde cross-site request forgery (CSRF) aanvallen. Simpel gezegd: een website kon bepaalde delen van je data stelen van je ingelogde Facebook-profiel dat in een ander tabblad open stond.

Het komt er dus op neer dat wanneer je op een bepaalde website komt, een aanvaller Facebook kan openen en informatie over jou en je vrienden kon stelen. De website kon diverse zoekopdrachten openen in een nieuw tabblad en vragen stellen die met ja- en nee-antwoorden kwamen. Denk bijvoorbeeld aan of je een bepaalde pagina leuk vindt.

Ook waren meer complexe antwoorden mogelijk. Denk aan al je vrienden met een specifieke naam, berichten met bepaalde woorden er in en persoonlijke informatie zoals je vrienden met een bepaalde religie in een specifieke stad. En dit kon zelfs als je instellingen zeiden dat je interesses alleen te zien waren voor je vrienden.

Fout gerepareerd

De fout zou vooral interessant zijn voor advertentiebedrijven, aldus Masas. Imperva heeft de bug in mei bekendgemaakt aan Facebook. Het sociale medium repareerde de fout een paar dagen later. Tegenover TechCrunch zegt het bedrijf geen bewijs te hebben van misbruik van de fout.