Er is een nieuw gegevenslek in Facebook dat account kan linken aan e-mailadressen. Met de kwetsbaarheid kunnen kwaadwillenden in principe tot 5 miljoen e-mailadressen per dag vinden, maar Facebook lijkt geen stappen te ondernemen om de fout te verhelpen.
Kwetsbaarheid Facebook
Begin deze maand raakte bekend dat er telefoonnummers en andere gevoelige gegevens van 500 miljoen Facebook-gebruikers zijn gelekt. Facebook gaf nadien een woordje uitleg over het datalek, maar er kwamen geen verontschuldigingen van het bedrijf. April is nog niet voorbij en Facebook heeft een nieuw gegevenslek beet, dat weet Ars Technica.
Een beveiligingsonderzoeker die anoniem wenst te blijven, heeft een kwetsbaarheid ontdekt dat kwaadwillenden toelaat om Facebook-accounts aan e-mailadressen te linken. Hij lichtte bij Facebook de fout toe aan de hand van de eigen tool 'Facebook Email Search' waarmee hij tot 5 miljoen e-mailadressen per dag kan verzamelen. Het gaat ook om e-mailadressen van accounts die ervoor gekozen hebben om hun e-mailadres niet te delen.
Geen patch
Medewerkers van Facebook bleken echter maar weinig gehoor te geven wat de ernst van deze fout betreft, want volgens hen was het niet ernstig genoeg om het probleem met een patch te verhelpen. De man kreeg dus ook geen beloning voor het vinden en rapporteren van de kwetsbaarheid, zoals dat normaal gaat met zogenaamde 'bug bounty-programma's'. Daarop maakte hij een video waarin hij het probleem demonstreerde en die deelde hij met Ars Technica.
Toen ze daar contact met Facebook hebben gezocht, bleek dat het contact met de man inderdaad al was afgebroken alvorens de zaak werd doorverwezen naar het juiste ontwikkelingsteam. Facebook bespreekt de bevindingen nu verder met de man om zo de precieze details ervan te begrijpen. Al denkt de sociale mediasite dat het probleem alvast verholpen is doordat de methode die de onderzoeker gebruikt ondertussen aan banden is gelegd.
Gerelateerde artikelen
Beveiligingsproblemen normaliseren
De beveiligingsonderzoeker geeft aan dat de kwetsbaarheid die hij heeft ontdekt in feite overeenkomt met een probleem dat eerder dit jaar al naar voren is gekomen. "Om de een of andere reden, ondanks dat ik hen ervan bewust maak, vertellen ze me rechtstreeks dat er geen actie wordt genomen", aldus de onderzoeker. De kwetsbaarheid lijkt dus niet van de baan te zijn.
In een e-mail die deze week foutief belandde bij het Belgische Data News, gaf Facebook ook al aan dat PR-mensen publiekelijk moeten framen dat dergelijke kwetsbaarheden een probleem zijn in de ganse techindustrie.
"Op lange termijn verwachten we meer scraping-incidenten en het is belangrijk om dit als een sectorprobleem te framen en te normaliseren dat dit regelmatig gebeurt. (...) Dit kan een groot deel van de scraping-activiteiten weerkaatsen, we hopen dat dit helpt het feit te normaliseren dat dit lopende is en de kritiek te vermijden dat we niet transparant zijn over specifieke incidenten."
Gerelateerde artikelen
Of de kwetsbaarheid al door kwaadwillenden is uitgebuit, is niet zeker, maar de onderzoeker in kwestie acht dat wel mogelijk. Maak jij je zorgen over de vele veiligheidskwesties van Facebook en de manier waarop dergelijke lekken volgens het bedrijf genormaliseerd moeten worden? Laat het ons weten in de reacties onderaan dit artikel.
