Opnieuw privégegevens gelekt bij Facebook

Onderzoekers van UpGuard hebben op een Amazon cloudserver miljoenen privégegevens van Facebookgebruikers ontdekt die voor iedereen op internet toegankelijk waren.

De gegevens waren op een Amazon S3-bucket opgeslagen en waren verzameld door twee derde partijen.

Amazon S3-bucket

Een Amazon S3-bucket kan gebruikt worden door organisaties om gegevens in de cloud van Amazon op te slaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De buckets van het Mexicaanse Cultura Colectiva, een contentplatform, en de Facebook-app "At the Pool" waren voor iedereen op internet toegankelijk. Alleen het kennen van de url was voldoende.

Cultura Colectiva & At the Pool

In het geval van Cultura Colectiva ging het om een dataset van 146 gigabyte met 540 miljoen records, waaronder reacties, likes, gebruikersnamen, Facebook-ID's en meer. De back-up van At the Pool bevatte informatie over 22.000 gebruikers, waaronder hun plaintext wachtwoorden voor de app, namen, e-mailadressen, Facebook-ID en andere gegevens. At the Pool stopte in 2014 en het achterliggende bedrijf bestaat niet meer. De back-up met gebruikersgegevens bleek echter nog rond te zwerven.

UpGuard

UpGuard meldt dat de "De datasets verschillen in wanneer ze voor het laatst zijn bijgewerkt, datapunten die ze bevatten en het aantal unieke individuen. Wat ze verbindt is dat ze beiden data over Facebookgebruikers bevatten, interesses van gebruikers, relaties en interacties beschrijven en toegankelijkheid voor third party-ontwikkelaars".

Datalek

Cultura Collectiva werd op 10 januari via e-mail ingelicht door UpGuard, gevolgd door een tweede e-mail op 14 januari. UpGuard heeft nog altijd geen enkele reactie van het contentplatform ontvangen. Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht.

Drie weken later op 21 februari was de data nog steeds niet beveiligd en stapte UpGuard opnieuw naar Amazon, die liet weten naar de zaak te zullen kijken. Pas nadat Facebook was ingelicht werd de dataset op 3 april beveiligd. De dataset van At the Pool was al tijdens het onderzoek offline gehaald.

Wat betekend dit voor Facebook gebruikers?

Dit betekend dus dat als voorzorg maatregel Facebook gebruikers zelf hun eigen wachtwoord moeten veranderen.