Facebook opnieuw gehackt. Cybercriminelen hebben toegang tot 120 miljoen accounts

Facebook is opnieuw gehackt. Volgens de BBC claimen hackers 120 miljoen accounts in handen te hebben.

De cybercriminelen willen de gestolen accounts doorverkopen, meldt de BBC. De Britse omroep zegt met de hackers te hebben gesproken.

Facebook denkt dat de daders schadelijke browser-extensies hebben gemaakt. Zulke programmaatjes kunnen worden toegevoegd aan bijvoorbeeld Google Chrome.

Mensen die nietsvermoedend zo’n extensie installeerden, zouden de makers toegang tot hun account hebben gegeven.

„We roepen mensen op hun browserextensies te controleren en de programma’s die ze niet vertrouwen te verwijderen”, laat Facebook weten.

Facebook heeft de extensies waarvan het gelooft dat ze erbij betrokken waren niet genoemd, maar zegt dat het datalek niet zijn schuld is.

Onafhankelijke cyberexperts hebben de BBC verteld dat, als malafide extensies inderdaad de oorzaak zouden zijn, er sprake zou zijn van gedeelde verantwoordelijkheid van Facebook en de makers van de browsers, zoals bijvoorbeeld Google Chrome. Zij zijn verantwoordelijk voor het controleren van de veiligheid van extensies die via hun platform worden aangeboden.

Maar de hack is ook dan nog steeds slecht nieuws voor Facebook dat dit jaar te kampen heeft met het ene na het andere datalek. Dat wekt bepaald geen vertrouwen. En bovendien lopen er al meerdere onderzoeken tegen Facebook.

Volgens de BBC komen de meeste gedupeerden van deze hack uit Rusland en Oekraïne. Ook Britse, Amerikaanse en Braziliaanse gebruikers zouden zijn getroffen.

Bijna 5 miljoen Europese Facebook gebruikers getroffen door Facebook-hack

Minder dan 10 procent van de EU-burgers is getroffen door de Facebook-hack, aldus de Ierse gegevensbeschermingsautoriteit. Facebook wil binnenkort exacte cijfers leveren.

Dit werd maandagavond door de Ierse autoriteit voor gegevensbescherming via Twitter bekendgemaakt.

Snel meer gedetailleerde informatie van Facebook

“Facebook heeft beloofd om “snel” meer gedetailleerde informatie te kunnen verstrekken”, aldus de korte verklaring van de Ierse toezichthouder op Twitter.

Facebook maakte vrijdag bekend dat onbekende aanvallers volledige toegang hadden gekregen tot bijna 50 miljoen profielen op het online netwerk.

Toegang zonder tot Facebook apps een wachtwoord

De basis hiervoor was de adoptie van een Access Token, waarmee gebruikers toegang kunnen krijgen tot een account zonder het wachtwoord in te voeren.

De hackers hadden ook toegang kunnen krijgen tot andere online diensten waar gebruikers met hun Facebook-login zijn ingelogd, gaf Facebook toe.

Het lek is volgens Facebook vorige week donderdag gedicht en volgens eerdere bevindingen zouden de aanvallers niet geprobeerd hebben om namens de gebruikers privéberichten op te halen of iets te posten op Facebook.

Facebook zou megaboete kunnen krijgen

Facebook heeft de Ierse toezichthouder vorige week via een datalekprocedure op de hoogte gebracht van het lek. De nieuwe Europese privacywet AVG / GDPR verplicht organisaties om na het ontdekken van een datalek binnen 72 uur een datalekprocedure op te starten waarbij de toezichthouder en getroffen personen worden geinformeerd. Ook moeten er zo snel mogelijk matregelen getroffen worden om het lek te dichten en schade te voorkomen of te beperken.

De toezichthouder kan organisaties die hun privacybeleid niet op orde hebben een boete van maximaal vier procent van hun jaaromzet te opleggen als ze de regels voor gegevensbescherming schenden. In het geval van Facebook zou dit volgens cijfers uit 2017 ongeveer 1,6 miljard dollar zijn.

Facebookaccounts 50 miljoen gebruikers gehackt. Facebook loopt risico op megaboete van 1,4 miljard Euro

Facebook maakte vorige week vrijdag openbaar dat op de dinsdag van die week de accounts van bijna 50 miljoen Facebook-gebruikers waren gehackt. Dat datalek levert Facebook mogelijk een megaboete van 1,4 miljard Euro op.

Sinds de Algemene Verordening Gegevensbescherming (AVG) van kracht is weten veel mensen dat er miljoenen Euro aan boetes kunnen worden opgelegd als de regels worden overtreden.

Bij Facebook wordt een potentieel boetebedrag van 1,4 miljard Euro genoemd. Waar komt dat bedrag vandaan? Heeft Facebook nu een megaprobleem?

Datalekprocedure Facebook

De AVG eist onder meer dat bedrijven hacks en lekken binnen 72 melden bij een Europese toezichthouder. Zo niet, dan kan een boete van maximaal 2 procent van de wereldwijde omzet van het bedrijf worden opgelegd.

Grote vraag is dan of Facebook de hack volgens de regels van een datalekprocedure binnen de verplichte 72 uur bij een Europese privacywaakhond heeft gemeld.

Wall Street Journal

Volgens de Wall Street Journal heeft Facebook tijdig een datalekprocedure gestart. Daarmee lijkt een eerste hoge boete in het kader van de Europese privacywet AVG afgeslagen.

Facebook melde de hack die naar eigen zeggen dinsdag werd ontdekt donderdag bij de Ierse Data Protection Commission (DPC), schrijft The Wall Street Journal.

Het Europese hoofdkantoor van Facebook staat in Ierland, en dus worden alle Europese privacyzaken van Facebook in principe door de Ierse autoriteit persoonsgegevens DPC afgehandeld.

Boete tot 1,4 miljard euro

Toch kan Facebook mogelijk een nog hogere boete krijgen. Bedrijven die volgens de toezichthouder niet genoeg hebben gedaan om de privacy van gebruikers te waarborgen, kunnen boete krijgen van 20 miljoen dollar of 4 procent van jaaromzet waarbij het hoogste bedrag telt. In het geval van Facebook zou de maximumboete op 1,4 miljard euro komen.

Een anonieme Europese privacyadvocaat zegt tegen The Wall Street Journal dat de eis om een lek binnen 72 uur te melden “iedereen op scherp zet”, en zorgt dat bedrijven hacks eerder openbaar maken. De Ierse DPC klaagt dat Facebook niet meer details heeft gegeven rond de recente hack, en heeft het bedrijf vragen gesteld.

Facebook heeft risico van datalek nog niet duidelijk gemaakt

De toezichthouder is “bezorgd over het feit dat dit lek dinsdag ontdekt is en miljoenen gebruikers aangaat, zonder dat Facebook de aard van het lek en het risico voor gebruikers duidelijk kan maken”.

Facebook zegt de zaak te onderzoeken, en de vragen van de toezichthouder zo snel mogelijk te beantwoorden.

Facebook loopt extra risico op megaboete vanwege voorbeeldfunctie

Experts zeggen tegen The Wall Street Journal dat de Europese privacywaakhonden mogelijk een voorbeeld zullen maken van Facebook, omdat het bedrijf met zijn miljarden gebruikers en miljardenomzet een voorbeeldfunctie heeft voor andere bedrijven.

Daar komt bij dat de Europese Commissie vorige week bekend heeft gemaakt dat er een groot onafhankelijk onderzoek naar het privacybeleid van grote bedrijven als Facebook is gestart. Dat onderzoek staat los van het aactuele datalek bij Facebook.

Bovendien werd vorige week onthuld dat Facebook oneigenlijk telefoonnummers van contacten van gebruikers verwerkt voor commerciele doeleinden. Ook als die contacten geen gebruik maken van Facebook.

En tenslotte waarschuwde Whatsapp oprichter Brian Acton in een interview met het tijdschrift Forbes dat Facebook doelbewust gebruikers misleidt. Hij stapte om die reden op bij Facebook.

Hier kun je zien of Cambridge Analytica ook data van jouw Facebook-account heeft verzameld

Facebook-gebruikers kunnen op deze pagina bekijken of hun informatie is gedeeld met de app ‘This Is Your Digital Life’.

In totaal werden 87 miljoen gebruikers wereldwijd getroffen door datamisbruik via de app, waaronder 90.000 Nederlanders. Op Facebook kan iedereen nu bekijken of hun data is gedeeld. Dat kan ook zijn gebeurd doordat een Facebook-vriend bij de app heeft ingelogd.

Facebook schrijft dat in zulke gevallen “waarschijnlijk” informatie is gedeeld zoals “je openbaar profiel, pagina-vind-ik-leuks, geboortedatum en huidige woonplaats”.

Om te weten wat een openbaar profiel inhoudt, kunnen gebruikers op hun persoonlijke Facebook-pagina terecht. Op dat profiel staat in de profielbanner naast ‘Activiteitlogbook weergeven’ een knop met drie puntjes. Door te kiezen voor ‘Weergeven als’ is te zien hoe de pagina er uitziet in het openbaar, dus ook voor mensen waar gebruikers niet mee bevriend zijn.

 

De app This Is Your Digital Life werd door het bedrijf Cambridge Analytica ontwikkeld. Gebruikers konden daarmee een persoonlijkheidstest doen, waarbij gegevens onder het mom van wetenschappelijk onderzoek werden verzameld.

Ondertussen werd de informatie voor commerciële doeleinden doorgespeeld naar het databedrijf. Zo kon Cambridge Analytica gedetailleerde profielen van gebruikers samenstellen, om hen op persoonlijk niveau met advertenties te benaderen. Deelnemers waren daarvan niet op de hoogte.