Het slechte nieuws voor Facebook-gebruikers is blijkbaar nog niet voorbij. Gisteren (28 september 2018) moest Facebook toegeven dat de accounts van meer dan 50 miljoen mensen op een of andere manier toegankelijk waren voor hackers die een zwakheid in een relatief onbekende functie misbruikten.
De hack misbruikte een zwakheid in: “Weergeven als”
Met de functie “Weergeven als” kun je zien hoe jouw profiel eruitziet voor iemand anders, zodat je bijvoorbeeld kunt controleren of jouw privacy-instellingen correct worden toegepast. Je kunt daar kiezen voor wie je deze controle wilt uitvoeren door “Bekijken als specifieke persoon” te kiezen en daar de naam op te geven van degene waarvan je wilt zien hoe hij/zij jouw profiel ziet. En daar zat de ellende.
Hackers konden misbruik maken van een beveiligingslek in deze functie door toegangstokens te stelen en daarmee de accounts van mensen over te nemen – in feite de aanmeldingscookies die ervoor zorgen dat je ingelogd blijft. Dit lijkt enigszins op de “session hijacking” aanvallen die een aantal jaren geleden opkwamen door mensen die op hotspots netwerkverkeer wisten te monitoren en te analyseren. Dit is een van de redenen waarom je eigenlijk altijd een VPN moet gebruiken en waarom het web overschakelde van het onversleutelde http naar het versleutelde https. In dit geval zat de fout echter in de code van Facebook zelf, zodat ook een HTTPS verbinding of een VPN je niet meer kon beschermen.
Het probleem bleek in een video-uploader voor het verzenden van berichten te zitten, die niet had getoond mogen worden op de “Bekijken als specifieke persoon” pagina, maar dat gebeurde dus wél. Nadat de video-uploader was geopend, logde de bug de hacker in als de account waarvan het profiel werd bekeken. Vanaf dat moment kon de hacker bij de vriendenlijst, en kon de bug worden misbruiken om in te loggen als elke vriend van een vriend tot 6 graden vanaf het eerste slachtoffer. En zo hadden ze uiteindelijk toegang gekregen tot 50 miljoen accounts.
Wat je moet weten
Update: We weten nu dat het zeer waarschijnlijk is dat andere applicaties die Facebook gebruiken ook gecompromitteerd konden worden en dat hackers toegang hadden tot dingen zoals instagram, Tinder, spotify en een aantal andere dingen.
Details over dit debacle zijn op dit moment erg mager, maar hier zijn de dingen die we wel weten:
- 50 miljoen accounts zijn zo gehackt.
- Facebook heeft 90 miljoen mensen uitgelogd om veilig te zijn.
- Deze bug is afgeschermd door de functie “Weergeven als” uit te schakelen.
- Door een sessiecookie over te nemen, krijgt een aanvaller geen toegang tot jouw wachtwoord.
- We weten niets over de hoeveelheid gegevens waartoe ze toegang hebben gehad of over apps van derden die gebruikmaken van Facebook-aanmeldingen.
- Je krijgt een bericht boven aan Facebook om je te laten weten wat er is gebeurd.
- Er is op dit moment niets wat je hieraan kunt doen.
Facebook heeft de functie volledig uitgeschakeld terwijl ze onderzoeken hoe het allemaal is gebeurd, hoeveel gegevens er zijn gecompromitteerd en hoe ze het probleem in de toekomst kunnen oplossen.
Dit datalek, in combinatie met het recente nieuws dat Facebook schaduwprofielen verzamelt en jouw e-mailadres gebruikt om advertenties te targeten, zal de roep om GDPR-achtige regelgeving over deze internetreuzen doen toenemen. En dat is maar goed ook, want het wordt tijd dat de diverse internationale wetgevers hier wat aan gaat doen.
