Is jouw account geraakt door het Facebook-lek?

Ben ik gehackt en wat moet ik doen om mijn gegevens te beschermen?

Het is nog niet duidelijk wie er precies slachtoffer is; Facebook heeft de getroffen gebruikers uitgelogd maar zegt niet wie het zijn. De fout is inmiddels gerepareerd; het bedrijf onderzoekt in welke mate gegevens gestolen zijn of accounts misbruikt zijn en persoonlijke data gestolen zijn. Grote kans dat het aantal slachtoffers zal toenemen.

Je kunt op Facebooks beveiligingspagina’s zien wanneer er is ingelogd op jouw account, door welk apparaat en vanaf welke plek. Inlogpogingen van anderen zouden daar moeten verschijnen. Het is niet per se nodig je Facebook-wachtwoord te veranderen - hoewel dat geen kwaad kan. Wat wel helpt: zelf even uit- en inloggen uit je Facebook-apps en diensten als Tinder, Spotify of Instagram die je gekoppeld hebt aan je Facebook account. Dan wordt de tijdelijke sleutel vernieuwd.

1. Wat ging er fout?

   De hackers vonden een foutje in Facebooks ‘weergeven als’-functie. Dat is de knop waarmee je als gebruiker kunt zien hoe buitenstaanders je profiel bekijken. Door een foutje in de code konden hackers video’s uploaden en kregen daardoor – weer een ander foutje – een tijdelijke digitale sleutel, een zogeheten token. Het is een manier om te voorkomen dat je telkens weer je wachtwoord in moet tikken als je de Facebook-app gebruikt. Het lek is een blamage voor Facebook. In een uitleg die Facebooks security-afdeling gaf, blijkt het om drie fouten te gaan, die ruim een jaar onopgemerkt bleven.

2. Hoe groot is het probleem?

   Toen de hackers probeerden toegang te krijgen tot miljoenen accounts, leverde dat in september een piek in dataverkeer op die door Facebook werd opgemerkt. Volgens het bedrijf gaat het om 50 miljoen accounts – voor de zekerheid heeft Facebook 90 miljoen accounts op afstand uitgelogd. Afgaande op eerdere ervaringen met Facebook kan het aantal nog verder oplopen. In totaal telt het netwerk 2,2 miljard leden.

3. Kregen hackers toegang tot andere sites?

   Dat zou kunnen. Facebook beheert niet alleen de sleutels van Facebook-accounts. Tienduizenden sites, apps en webdiensten maken gebruiken van de social plugin van Facebook. Tinder en Spotify en webwinkels als Coolblue bijvoorbeeld. Facebook heeft nog geen bewijs gevonden dat gestolen tokens hiervoor gebruikt zijn. Het is ook nog niet duidelijk of er Nederlandse accounts bij betrokken zijn, laat Facebook desgevraagd weten.

4. Hoe kon dit gebeuren?

   Na het Cambridge Analytica-schandaal heeft Facebook zijn handen vol aan het verbeteren van de privacy, de bestrijding van nepnieuws en extremistische inhoud. De onrust rondom het bedrijf heeft in de top geleid tot de nodige verschuivingen. Onder meer Facebooks security-baas Alex Stamos stapte eerder dit jaar op en werd niet vervangen.

   Deze week stapten de oprichters van Instagram – gekocht door Facebook – op bij het bedrijf. Eerder distantieerden de oprichters van WhatsApp (ook WhatsApp werd door Facebook overgenomen) zich van het bedrijf. Daarmee raakt Mark Zuckerberg zijn meest mondige kritische collega’s kwijt.

5. Wat is de schade?

   Facebook trekt relatief snel aan de bel na deze kwetsbaarheid – veel sneller dan het reageerde op het misbruiken van Cambridge Analytica. Het bedrijf is dan ook verplicht te melden dat er data van gebruikers gestolen zijn. Vergeleken met andere grootschalige datalekken (Yahoo verloor ooit de inloggegevens van 3 miljard accounts) lijkt een aantal van 50 of 90 miljoen accounts op het eerste gezicht mee te vallen. Maar Facebook-profielen bevatten uiterst persoonlijke gegevens, en worden gebruikt om nog persoonlijkere apps en diensten mee te ontsluiten. De schade kan dus veel groter zijn, zowel voor gebruikers als voor Facebook. In de VS hebben boze gebruikers al rechtszaken aangespannen en dreigen met claims. Dit veiligheidslek komt het al broze imago van Facebook niet ten goede.