Facebook wil de negatieve berichtgeving over het datalek een andere draai geven. In plaats van de nadruk te leggen op de persoonsgegevens die bij het lek op straat zijn beland, moet het fenomeen scraping de aandacht krijgen. ‘Op langere termijn moeten we dit framen als een sectorprobleem en normaliseren dat dit gebeurt.’
Dat staat in een interne e-mail die de Belgische site Data News heeft ingezien. De e-mail is 8 april opgesteld en afkomstig van een communicatiemedewerker bij Facebook. Het bericht is gericht aan de PR-afdeling van het bedrijf in Europa, het Midden-Oosten en Afrika.
Persoonsgegevens van half miljard Facebook-gebruikers op straat
Begin april belandden de gegevens van 533 miljoen Facebook-gebruikers wereldwijd op een hackersforum op het dark web. Naast voor- en achternamen wisten de daders ook de hand te leggen op woonplaatsen, geboortedata, telefoonnummers, e-mailadressen, geslacht, relatiestatus, Facebook ID’s en de data waarop de accounts zijn aangemaakt. RTL Nieuws ontdekte dat 5,4 miljoen Nederlanders en 3,2 miljoen Belgen tot de slachtoffers behoorden.
Facebook reageerde aanvankelijk met de mededeling dat de gegevens jaren geleden zijn buitgemaakt en dat de interne systemen sindsdien zijn hersteld. Vervolgens zei een woordvoerder van het sociale medium dat de data niet afkomstig was van een hackaanval, maar gescrapet was. Dat betekent dat kwaadwillenden met software publiekelijk toegankelijke informatie uit openbare bronnen verzamelen en bundelen tot één dataset.
Tot slot vertelde een woordvoerder van Facebook tegen persbureau Reuters dat het slachtoffers van het datalek niet actief gaat informeren. De Data Protection Commission (DPC) heeft inmiddels aangekondigd een onderzoek in te stellen naar de kwestie. De Ierse privacytoezichthouder zegt aanwijzingen te hebben dat één of meerdere bepalingen van de AVG of Data Protection Act uit 2018 geschonden zijn. Facebook zegt volledig aan het onderzoek te zullen meewerken.
‘Facebook wil datalek afdoen als een sectorprobleem’
Wellicht maakt het bovenstaande allemaal onderdeel uit van een uitgekiende strategie. Dat schrijft althans het Belgische Data News. Volgens het medium staat er in de memo, die enkele dagen nadat het datalek aan het licht kwam is opgesteld, dat Facebook geen extra verklaringen aflegt. Het bedrijf verwacht dat de kwestie vroeg of laat overwaait en de media er nauwelijks nog aandacht aan zullen besteden.
In de e-mail wordt tevens een langetermijnstrategie besproken. Facebook wil het voorval afdoen als een ‘sectorprobleem’ en het verschijnsel scraping ‘normaliseren’. Het bedrijf verwacht dat dit niet het eerste en ook niet het laatste incident zal zijn waarbij scraping een hoofdrol speelt. Daarover schrijft het sociale netwerk het volgende:
“Op lange termijn verwachten we meer scraping-incidenten en het is belangrijk om dit als een sectorprobleem te framen en te normaliseren dat dit regelmatig gebeurt. Om dit te doen, stelt het team een follow-up post in de komende weken voor die breder praat over ons anti-scraping werk en meer transparantie biedt rond het werk dat we hier doen. Dit kan een groot deel van de scraping-activiteiten weerkaatsen, we hopen dat dit helpt het feit te normaliseren dat dit lopende is en de kritiek te vermijden dat we niet transparant zijn over specifieke incidenten.”
Data News: ‘Facebook steekt opnieuw de kop in het zand’
Data News zegt dat ze de interne e-mail per ongeluk in handen kreeg toen ze bij het bedrijf informeerde naar meer duidelijkheid omtrent het datalek. Facebook verklaarde dat het datalek in augustus 2019 werd ontdekt en gedicht. Dat is volgens Data News onjuist: de ethische hacker Inti De Ceukelaire bracht Facebook in januari 2017 al op de hoogte dat het mogelijk was om het telefoonnummer van een willekeurige Facebook-gebruiker te achterhalen. Ook wees hij het bedrijf erop dat dat de aanvaller maximaal tienduizend contacten per keer kon importeren.
Volgens Data News hanteerde Facebook dezelfde communicatiestrategie bij het nieuws over de manipulatie van de Amerikaanse presidentsverkiezingen in 2016. “[Toen] stak het bedrijf aanvankelijk de kop in het zand en weigerde het enige verantwoordelijkheid te nemen. Pas toen de bewijzen bijna onweerlegbaar waren kwam de pr-motor van het bedrijf op gang en volgden blogs en sessies met journalisten om te benadrukken dat Facebook stappen onderneemt tegen fake accounts en manipulatie op haar platform”, zo schrijft het Belgische medium.
LinkedIn en Clubhouse ook slachtoffer van scraping
Facebook is niet het enige bedrijf dat onlangs negatief in het nieuws kwam doordat persoonsgegevens van honderden miljoenen gebruikers op straat zijn beland. Hetzelfde overkwam LinkedIn. Eerder deze maand bood een hacker de gegevens van ruim 500 miljoen gebruikers te koop aan op het dark web. Het ging om voor- en achternamen, telefoonnummers, e-mailadressen, geslacht, LinkedIn ID’s, links naar LinkedIn-profielen, links naar sociale media, functienamen en andere werk gerelateerde data. Net als bij Facebook is deze data volgens LinkedIn verkregen via scraping.
Clubhouse overkwam hetzelfde, zij het bij ‘slechts’ 1,3 miljoen gebruikers. De chatapp ligt al langer onder vuur. De Franse toezichthouder CNIL heeft een onderzoek ingesteld naar Clubhouse. Privacyorganisaties en -activisten hebben geklaagd dat de app de AVG-regels overtreedt. Via een online petitie hebben ze meer dan 10.000 handtekeningen verzameld van mensen die bezorgd zijn dat Clubhouse de Europese privacyregels overtreedt.
