Privégegevens 533 miljoen Facebook-gebruikers op straat

Kaartjes met Facebook-logo met daarop hangsloten

Afgelopen weekend zijn de privégegevens van ruim een half miljard Facebook-gebruikers op straat beland. Het gaat onder meer over naam, woonplaats, geboortedatum en contactgegevens. Onder de 533 miljoen gedupeerden bevinden zich 5,4 miljoen Nederlandse Facebook-gebruikers.

Dat schrijft de securityonderzoeker Alon Gal op Twitter.

Deze gegevens zijn er buitgemaakt bij het datalek

Het gaat om persoonsgegevens die in 2019 zijn buitgemaakt. Om onbekende reden zijn de gegevens nu pas openbaar gemaakt via een populair hackersforum op het dark web. Alon Gal stelt dat de daders voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en data dat accounts zijn aangemaakt hebben weten te bemachtigen.

Alon Gal trok afgelopen januari aan de bel over het datalek. De beveiligingsonderzoeker zei dat de data begin dit jaar via een Telegram-bot aangeboden werd aan geïnteresseerden. Wie destijds informatie wilde hebben, moest voor iedere gebruiker afzonderlijk betalen. Nu is de gehele dataset op het dark web te vinden en kunnen cybercriminelen en hackers deze gratis downloaden.

Tegenover BleepingComputer zegt de securityexpert dat er waarschijnlijk een kwetsbaarheid schuilde in de functie ‘vriend toevoegen’. Hierdoor hadden kwaadwillenden toegang tot telefoonnummers van onbekenden. Het enige dat ze hoefden de doen was een willekeurig nummer in te vullen, waardoor profielen en telefoonnummers aan elkaar konden worden gekoppeld. De overige data is volgens Gal bij elkaar geraapt of gescraped via openbare profielen.

Gegevens 5,4 miljoen Nederlandse Facebook-gebruikers gestolen

In totaal zijn de privégegevens van 533 miljoen Facebook-gebruikers wereldwijd op het hackersforum beland. Gal zegt tegen BleepingComputer deze de gegevens afkomstig zijn uit 106 landen. Opvallend is dat van slechts twee-en-een-half miljoen gebruikers het e-mailadres is gestolen.

Daniël Verlaan, techjournalist bij RTL Nieuws, heeft de dataset ingezien. Volgens hem zijn de gegevens van ruim 5,4 miljoen Nederlandse Facebook-gebruikers gelekt. Verder horen we geluiden dat bijna 3,2 miljoen Belgen de dupe zijn van het datalek.

Pas op voor WhatsApp-fraude en phishing

Het goede nieuws is dat er geen wachtwoorden zijn bemachtigd door de hackers. Dat betekent echter niet dat er niks aan de hand is: de daders hebben een berg aan waardevolle en privacygevoelige informatie weten te stelen. Deze gegevens kunnen ze gebruiken -of beter gezegd: misbruiken- voor criminele doeleinden.

Het telefoonnummer bijvoorbeeld kunnen cybercriminelen gebruiken voor WhatsApp-fraude. Ze doen dan alsof ze iemand anders zijn en vragen hun slachtoffer om geld over te maken. Doen ze dat niet, dan dreigen ze nog verder in de financiële ellende te belanden. Als het geld eenmaal is overgemaakt, kunnen de slachtoffers er naar fluiten.

Oplichters kunnen de gestolen gegevens ook gebruiken voor phishing. Omdat ze zoveel dingen over jouw persoonlijke situatie weten, kunnen ze overtuigende en persoonsgerichte berichten maken. Ga je daar echter op in en geef nog meer gevoelige informatie prijs (zoals een bankrekeningnummer of creditcardgegevens), dan wordt de ellende nog groter. Het is dan ook verstandig om attent te zijn op verdachte appjes, e-mails en sms-berichten. Vertrouw je de boel niet, ga dan niet in op de inhoud van het bericht. Of nog beter: bel de instantie en vraag of het verhaal klopt.

Have I Been Pwned aangevuld met 2,5 miljoen nieuwe e-mailadressen

Een woordvoerder van Facebook reageert laconiek op het datalek. “Hier is sprake van oude data waar in 2019 al over is geschreven. Dit probleem hebben we in 2019 gevonden en gefixt”, schrijft ze op Twitter.

De Australische beveiligingsexpert Troy Hunt heeft de gelekte data aan Have I Been Pwned toegevoegd. Hij zegt dat hij zijn database met 2,5 miljoen nieuwe e-mailadressen heeft aangevuld. Omdat er relatief weinig e-mailadressen bij het datalek zijn gestolen en Have I Been Pwned alleen naar e-mailadres kijkt, is er een reële kans dat je privégegevens zijn buitgemaakt, ook al word je niet genoemd in de database van Hunt.

Update (6 april 2021): op internet zijn diverse tools verschenen waarmee je in een oogopslag ziet of je telefoonnummer en andere persoonlijke gegevens zijn buitgemaakt bij het datalek van Facebook. Naast Have I Been Pwned van de Australische beveiligingsdeskundige Troy Hunt, kun je tevens een beroep doen op de Facebook Leak Checker van Joost Schuttelaar (alleen Nederlandse Facebook-gebruikers) en de website benikerbij.nl. Belgische Facebook-leden kunnen ook gebruik maken van de online tool Facebook Checker.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen