Zitten jouw gegevens erbij? En andere vragen over het Facebook-lek

Privacy Afgelopen weekend verscheen een bestand met de privégegevens van honderden miljoenen Facebookgebruikers online. Zes vragen over het massale datalek.

Facebook-topman Mark Zuckerberg geeft in mei 2018 een toespraak op ontwikkelaarsconferentie F8.
Facebook-topman Mark Zuckerberg geeft in mei 2018 een toespraak op ontwikkelaarsconferentie F8. Foto AP

In het Paasweekeinde bleek dat telefoonnummers, emailadressen, geboortedata en andere persoonlijke gegevens van honderden miljoenen Facebook-gebruikers voor iedereen toegankelijk op een hackersforum stonden. Onder de 533 miljoen getroffen Facebook-gebruikers uit meer dan honderd landen zijn ook 5,4 miljoen Nederlandse accounts.

1 Hoe weet je of je gegevens erbij zitten?

Dat kan via verschillende websites. Op bijvoorbeeld haveibeenpwned.com kan je je mailadres of telefoonnummer invullen, waarna je meteen ziet of je data in het bestand voorkomen.

Maar de vraag is wat je eraan hebt om te weten of je op die lange lijst voorkomt, zegt cybersecurity-expert Ronald Prins. „Je kan toch niet zoveel meer doen. Bovendien moet je niet zo maar je telefoonnummer ergens invullen.”

Je zou een ander telefoonnummer kunnen nemen, maar dat is veel gedoe - en een andere geboortedatum kiezen is zelfs Emile Ratelband niet gelukt. Cybersecurity-experts vinden dat je er hoe dan ook rekening mee moet houden dat je privé-gegevens ergens op internet staan en misbruikt kunnen worden.

2 Wat is er gebeurd?

Al in 2019 kwam het massale lek aan het licht, toen de gegevens op een hackersforum tegen betaling werden aangeboden. Pas nu zijn ze gratis in te zien. Prins gaat ervan uit dat kwaadwillenden de afgelopen jaren al misbruik van het lek hebben gemaakt. Wachtwoorden zijn overigens niet buitgemaakt.

3 Hoe gevaarlijk is het?

Er zijn veel vergelijkbare datalekken geweest, maar het gaat nu om heel erg veel mensen en interessante gegevens, zoals 06-nummers en geboortedata, zegt Sanne Maasakkers, ethisch hacker en beveiligingsexpert bij de firma Fox-IT. Daarmee kunnen oplichters zich gemakkelijk als een ander voordoen.

„Wees je ervan bewust dat je gegevens in zo’n groot datalek kunnen zitten en wees dus op je hoede. Als iemand je belt en bijvoorbeeld zegt dat hij van een bank is, en dan behalve je telefoonnummer ook je geboortedatum blijkt te hebben, is dat geen reden om te geloven dat het wel goed zit. Je kunt maar beter ophangen en zelf terugbellen, en niet ingaan op de link in een sms.”

4 Kunnen de gegevens niet weggehaald worden?

De gegevens op het hackersforum kunnen in theorie verwijderd worden, maar omdat al veel gebruikers de dataset hebben gedownload, en die verder verspreiden, haal je daarmee het datalek niet weg. Het staat dan toch al op menige PC en server.

5 Wat zegt Facebook?

In een eerste reactie zei een woordvoerder van Facebook alleen dat het om oude data gaat, waarover in 2019 al bericht is en dat het probleem op de Facebook-site in 2019 verholpen is. Op sociale media leidde die reactie tot scherpe kritiek: voor de gebruikers was het probleem helemaal niet verholpen en bovendien: waarom heeft Facebook zijn gebruikers niet uit eigen beweging op de hoogte gesteld?

Nader commentaar wilde het bedrijf dinsdagmiddag nog niet geven. De Ierse Data Protection Commission, die voor de Europese Unie toeziet om de naleving van de Algemene Verordening Gegevensbescherming (AVG), heeft de zaak in onderzoek genomen.

„Facebook heeft een lange geschiedenis van datalekken en inbreuken op de privacy'', zegt Evelyn Austin, directeur van Bits of Freedom, de organisatie voor digitale burgerrechten. „En elke keer dat er zoiets gebeurt biedt Facebook wel excuses aan, maar in de praktijk verandert er weinig. Facebook blijft onze privacy schenden.”

6 Wat kunnen we ervan leren?

Laat zo min mogelijk persoonlijke informatie op websites en openbare plaatsen op internet staan. Wees zuinig met het verstrekken van persoonlijke gegevens, ook van je telefoonnummer.

Facebook bood vroeger de mogelijkheid gebruikers te zoeken met een telefoonnummer. Criminelen hebben daar op grote schaal misbruik van gemaakt. Facebook maakte daarop een einde aan die zoekmogelijkheid.

Veel websites bieden de mogelijkheid om via je telefoonnummer met een sms je identiteit te bevestigen. Dat is in de meeste gevallen nog een stuk veiliger dan wanneer je deze extra verificatie niet hebt. Maar een veiliger optie heeft DigiD nu: een app, waarmee je identiteit bevestigd kan worden zonder gebruik van je telefoonnummer.