Ierse toezichthouder wil opheldering over datalek Facebook

Facebook inlogscherm op een smartphone en tablet

De Data Protection Commission (DPC) wil dat de onderste steen boven komt in de zaak over het datalek bij Facebook. Het sociale netwerk heeft wellicht het lek bewust verzwegen voor de Ierse privacywaakhond, omdat het voorval plaatsvond voordat de AVG in werking trad. De hackers zouden ook data hebben gestolen na dit tijdstip, waardoor Facebook volgens de AVG verplicht is om dit te melden bij de toezichthouder.

Dat schrijft de DPC in een persverklaring.

Persoonsgegevens van half miljard Facebook-gebruikers op straat

Afgelopen weekend verschenen de privégegevens van meer dan een half miljard Facebook-gebruikers op een hackersforum op het dark web. Voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en data dat accounts zijn aangemaakt verschenen open en bloot op internet.

In totaal waren 533 miljoen Facebook-gebruikers de dupe van het datalek. Onder de slachtoffers zijn ruim 5,4 miljoen Nederlanders en 3,2 miljoen Belgen. Nadat het nieuws over het lek naar buiten kwam, vroegen velen zich af of hun gegevens op straat waren beland. En terecht, want de gegevens kunnen gebruikt worden voor onder meer identiteitsfraude en phishing.

Beveiligingsexperts waarschuwden dan ook om de komende tijd extra alert te zijn voor verdachte berichten en andere oplichtingspraktijken. In korte tijd verschenen er diverse online tools waarmee men kon nagaan of zijn gegevens waren gestolen.

Facebook: ‘Systemen zijn niet gehackt, maar gescrapet’

In een verklaring laat Facebook weten dat de data niet is verkregen doordat de computersystemen van het bedrijf waren gehackt. In plaats daarvan maakten de daders gebruik van een techniek die scraping heet. Scraping is een veelgebruikte tactiek waarbij hackers gebruikmaken van geautomatiseerde software om informatie uit openbare bronnen op het internet te halen. Deze methode is vóór september 2019 gebruikt om de gelekte dataset te creëren.

Volgens de laatste berichten die ons bereiken zijn er in 2018 en 2019 datasets gepubliceerd die door middel van scraping zijn samengesteld. Volgens Facebook is deze informatie tussen juni 2017 en april 2018 verkregen. Dat is een saillant detail, omdat in mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Vanaf die datum was Facebook verplicht om het datalek bij de Ierse toezichthouder te melden. Omdat het voorval vóór mei 2018 plaatsvond, koos het sociale netwerk van Mark Zuckerburg ervoor om dat niet te doen.

‘Data afkomstig uit meerdere bronnen’

De DPC vermoedt dat de dataset die afgelopen weekend op het dark web opdook, data bevat die is samengesteld uit gegevens die vóór en na de inwerkingtreding van de AVG zijn buitgemaakt. Als dat zo is had Facebook dit moeten aangeven bij de toezichthouder.

De privacywaakhond heeft afgelopen weekend geprobeerd om alle feiten boven tafel te krijgen, maar zonder succes. De toezichthouder zegt ‘geen proactieve communicatie’ van Facebook te hebben ontvangen. Via diverse kanalen heeft het sociale netwerk het volgende laten weten aan de DPC:

“Op basis van ons onderzoek tot nu toe, zijn wij van mening dat de informatie die afgelopen weekend is vrijgegeven in de dataset reeds openbaar was en gescrapet is vóór de wijzigingen die in 2018 en 2019 aan het platform zijn aangebracht. Zoals u ongetwijfeld zult begrijpen, lijken de gegevens in kwestie te zijn verzameld door derden en mogelijk afkomstig te zijn uit meerdere bronnen. Er is dan ook uitgebreid onderzoek nodig om de herkomst ervan met voldoende zekerheid vast te stellen, zodat uw kantoor en onze gebruikers over aanvullende informatie kunnen beschikken.”

Facebook belooft haar uiterste best te doen om de DPC alle antwoorden te verschaffen over het datalek. De toezichthouder belooft op zijn beurt om het onderzoek voort te zetten en iedereen daarvan op de hoogte te brengen.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen