Na inmiddels bijna twee jaar aan schandalen, zit het nog altijd niet mee bij Facebook. Het sociale medium is namelijk opnieuw getroffen door een datalek. Een beveiligingsonderzoeker vond online een database met daarin telefoonnummers van honderden miljoenen gebruikers, schrijft TechCrunch.
Voor de duidelijkheid: die database is niet van Facebook zelf. Maar van wie hij dan wel is, weten we niet. Beveiligingsonderzoeker Sanyam Jain vond de database en probeerde de eigenaar te achterhalen, maar dat mislukte. Hij tipte TechCrunch, dat ook een poging deed. Maar ook hen lukte het niet om uit te zoeken van wie de database was.
De inhoud van de database is echter behoorlijk gevoelig. Op de gevonden server – die niet met een wachtwoord beschermd was – stonden namelijk ruim 419 miljoen records over gebruikers, verdeeld over meerdere databases. De meeste gegevens – 133 miljoen – zijn van Amerikanen, maar er zitten ook Britse en Vietnamese gegevens in. Of er ook Nederlandse data in staat, is onduidelijk.
De gegevens lijken in ieder geval wel echt te zijn. Naast telefoonnummers stonden er ook Facebook ID’s in, een uniek en openbaar nummer dat geassocieerd is met je account. TechCrunch gebruikte dat om te controleren of de telefoonnummers inderdaad aan een account gekoppeld waren. Ook controleerden ze dat via de hersteloptie voor wachtwoorden. Daarbij wordt namelijk een deel van je telefoonnummer getoond.
Gevaarlijk
Dat de nummers gelekt zijn, kan behoorlijk wat gevolgen hebben. Ze kunnen namelijk gebruikt worden voor SIM-swapping. Daarbij gebruikt een hacker je telefoonnummer om binnen te dringen in je gekoppelde online accounts. Mogelijk kan een ander op die manier dus in je sociale media of je e-mail komen.
Opvallend is echter dat de telefoonnummers van gebruikers al een jaar niet meer toegankelijk zijn voor anderen. Facebook legde die toegang aan banden, nadat hier schandalen over kwamen. De telefoonnummers bleken bijvoorbeeld gebruikt te worden voor advertenties.
Facebook-woordvoerder Jay Nancarrow zegt dan ook dat de data verzameld moet zijn voordat de toegang tot de telefoonnummers beperkt werd. En dat kan wel: de data lijkt volgens TechCrunch vorige maand pas geüpload te zijn, maar dat betekent niet dat de gegevens nieuw zijn. De database is inmiddels offline gehaald en er is niet ingebroken op Facebook-accounts.