Bellen metHuib Modderkolk

‘Lek bij Facebook laat zien hoe moeilijk beveiliging is’

Wie een Facebook-account heeft, moet de komende tijd extra goed opletten voor rare sms’jes. Door een datalek van de techgigant zijn de persoonlijke gegevens van een half miljard gebruikers gepubliceerd op een hackersforum. Dat geeft munitie voor ‘goede phishing’, zegt Volkskrant-verslaggever Huib Modderkolk.

Datacentrum van Facebook in Prineville, Oregon waar foto's en andere gegevens van gebruikers worden opgeslagen. Beeld AP
Datacentrum van Facebook in Prineville, Oregon waar foto's en andere gegevens van gebruikers worden opgeslagen.Beeld AP

Het is niet de eerste keer dat Facebook onder vuur ligt voor een tekortkomende bescherming van persoonsdata. Eerder raakte de techgigant betrokken bij het Cambridge Analytica-schandaal, waarbij een databedrijf onrechtmatig gegevens verzamelde via Facebook en die inzette om de Amerikaanse presidentsverkiezingen van 2016 te beïnvloeden.

Vannacht berichtte cybercrimespecialist Alon Gal op Twitter over de publicatie. Onder de 533 miljoen gebruikers van wie de informatie gedeeld is, zitten vijf miljoen Nederlandse accounts.

Huib, hoe opzienbarend is dit nieuws?

‘Het nieuws is dat het nu gratis wordt aangeboden op internet. Iedereen kan het inzien.’

‘Het is al meer dan een jaar bekend dat deze database bestaat en in handen is van mensen buiten Facebook. Ik weet dat een Nederlands bedrijf in 2019 melding deed hierover. Er was een ‘gat in de software’: een mogelijkheid om ergens bij te komen waar mensen eigenlijk niet bij hadden moeten komen.

‘Dat gat was binnen een maand gedicht door Facebook. Maar sindsdien heeft het, klaarblijkelijk, weinig gedaan om te voorkomen dat de gegevens blijven rondzweven op het internet.’

Hoe gevaarlijk is dit?

‘We moeten het niet overdrijven. Het gaat gelukkig niet om hele gevoelige data. Het is niet alsof de thuisadressen erbij staan. In het bestand staan voornamelijk de gegevens die gebruikers zelf al op Facebook weggeven, zoals woonplaats en functie. Als jij zelf hebt ingevuld dat je bedrijfsassistent bent bij ABN Amro, staat dat in het bestand. De mogelijkheid om die informatie te scrapen - op grote schaal te verzamelen - was er al.

‘Het enige privacygevoelige is dat ook het telefoonnummer waarmee mensen zich hebben geregistreerd bij Facebook in dat bestand staat. Mensen moeten de komende weken goed opletten voor fraude via Whatsapp of sms. Criminelen kunnen hiermee goede phishing maken.’

Goede phishing, wat is dat?

‘Berichten die op jou gepersonaliseerd zijn. Criminelen hebben nu naam, woonplaats en functie. Er worden weleens Whatsapp-accounts aangemaakt met de profielfoto van jouw familielid. Dan wordt gevraagd: ik ben bezig met een verbouwing, wil je even dit bedrag overmaken? Hoe meer informatie een crimineel van jou heeft, hoe makkelijker het is om dit soort acties uit te voeren.’

Is dit lek aan Facebook te wijten?

‘Voor een deel. Facebook heeft veel geld en belooft goed met jouw data om te gaan. Dat is een belofte die het niet waarmaakt. Aan de andere kant is het ook niet in het belang van Facebook dat de gegevens van gebruikers weglekken. Juist het exclusief hebben van die data is onderdeel van Facebooks verdienmodel. Ik vind het in die zin ook illustratief: zelfs een van de grootste Amerikaanse ondernemingen heeft gaten in zijn software. Een rijk bedrijf dat een groot belang heeft om gegevens binnenboord te houden, slaagt daar niet in.

‘Dat is wat mij betreft de grootste les in deze kwestie. Of jij nu gegevens achterlaat bij de lokale tennisbaan, Facebook of de overheid: ze kunnen er weglekken. Dat moet je je constant realiseren bij het opgeven van data. Honderd procent digitale veiligheid bestaat niet.’

Zou jij je telefoonnummer überhaupt aan Facebook geven?

‘Het cynische van deze kwestie is ook: zo’n telefoonnummer als beveiliging van een account is nuttig. Geef je dat niet, dan loop je weer een ander risico. Het laat zien hoe moeilijk beveiliging is.

‘Facebook is erop gericht om zo veel mogelijk te verdienen aan zo veel mogelijk mensen. Het is in de kern een advertentiebedrijf, op zoek naar data. En wie veel data heeft, is aantrekkelijk voor kwaadwillenden. Het is op z’n minst goed om je dat te realiseren, voordat je allerlei gegevens weggeeft aan dat bedrijf.’

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden