Vlaamse ethische hacker ontdekt datalek via "persoonlijkheidstestjes" op je tijdslijn

28 juni 2018
Door spelletje als "Wat betekent jouw naam echt?" of "Welke 3 eigenschappen van jou zijn uniek?" lagen jarenlang de Facebookgegevens van miljoenen gebruikers wereldwijd op straat. Dat zegt de Vlaamse ethische hacker Inti De Ceukelaire.

Kwisjes verpakt als persoonlijkheidsspelletjes op sociale media en internet zijn immens populair. Je kent ze: "Wat is de oorsprong van jouw achternaam?" of "Wat onthullen je ogen?". Meer nog: "Hoe zou jij eruitzien als schoonheidskoningin?". De lijst is oneindig. Eén van die ontwikkelaars achter de spelletjes is het Duitse "Sociale Sweethearts" met zijn app "Nametests". Een app die meer dan 120 miljoen maandelijks gebruikers heeft, ook Belgen.

Om de spelletjes te spelen, moet je inloggen via Facebook. De kwisjes gebruiken je Facebookfoto's. "En daar loopt het al mis", zegt ethisch hacker Inti De Ceukelaire. (Een '"ethisch hacker" is iemand die computersystemen test met goede bedoelingen, nvdr.) "

(Lees verder onder de foto)

undefined

"De app heeft voor veel spelletjes toegang tot je foto's, maar kan ook aan je persoonlijke gegevens en foto's op Facebook die niet voor iedereen toegankelijk zijn. Wie ooit een testje deed, was mogelijk niet langer anoniem op het internet. Je moest nadien maar naar een andere website surfen en dan konden de ontwikkelaars van die andere website die je bezocht, via een veiligheidslek jouw gegevens bij "NameTests" bemachtigen. Die gegevens moeten bij Facebook en de bewuste apps blijven. Toch zijn ze jarenlang toegankelijk geweest voor derden. En dat is tegen de voorwaarden van Facebook."

Deur open voor misbruik?

Na het dataschandaal met Cambridge Analytica lanceerde Facebook het "Data Abuse Bounty Program", een meldpunt waar computerspecialisten zoals De Ceukelaire misbruik van data kunnen aankaarten. Om zeker te zijn dat hij een datalek had ontdekt, ontwikkelde De Ceukelaire een kleine website en logde hij in om een spelletjes te spelen. Nadien kon hij via die site zijn eigen Facebookgegevens bekijken. Zo hadden ook ontwikkelaars van websites mogelijk jarenlang toegang tot de persoonlijke data van miljoenen mensen, zoals geslacht, statusupdates, privéfoto's, geboortedatum en je FacebookID. Ook konden ontwikkelaars nog aan bepaalde gegevens van mensen die de app ooit installeerden en weer verwijderd hadden.

"Je surft niet meer anoniem en dat zet de deur open voor misbruik. Stel dat je expliciete sites bezoekt, dan kan iedereen die aan jouw gegevens kan, je chanteren. Maar ook zijn jouw gegevens perfect te gebruiken in politieke campagnes. Je wilt toch niet dat zomaar iedereen weet wie jij bent, wanneer je geboren bent, wie je familie of vrienden zijn? Wie de app heeft verbonden met zijn Facebookprofiel, kan die voor de zekerheid best verwijderen."

Facebook reikt premie uit

Via een bericht aan De Ceukelaire erkent Facebook dat er een probleem was met "NameTests". Facebook zegt ook dat het probleem intussen is verholpen. Het bedrijf liet ook weten dat het als dank 4.000 dollar zou storten aan De Ceukelaire. Omdat De Ceukelaire zelf gevraagd heeft dat zijn beloning aan een goed doel wordt gegeven, verdubbelde Facebook het bedrag. Zo zal Facebook 8.000 dollar storten aan Freedom of The Press Foundation, een organisatie die onderzoeksjournalistiek stimuleert.

Beluister het interview met Inti De Ceukelaire:

Bron: vrtnws.be en 'De Ochtend'

Lees ook:

Radio 1 Select