De gegevens van een half miljard Facebookgebruikers zijn gelekt, meldde verschillende nieuwswebsites zaterdagavond, waarvan gegevens van 5.4 miljoen Nederlanders te vinden zijn in de gegevens. Ook gegevens van honderden Almeerders zijn te vinden in het bestand. Al eerder lekten er gegevens weg vanuit Facebook, maar is het nu een hack of gaat het om een verklaarbare lek?

Dit keer heb ik mij verdiept in de achtergrond van het gebeuren. Allereerst, kostte het mij welgeteld twee minuten en omgerekend zo'n 2 euro om de data van de Nederlanders te kunnen downloaden - een ZIP-bestand van 176 megabytes met daarin twee tekstbestanden. Het valt mij al direct op dat er vooral 'open data' in te vinden is: data die afkomstig is van openbare Facebookprofielen daar waar je kunt aangeven welke informatie aan wie je wil tonen. Dit kun je, naast 'verborgen', 'vrienden van vrienden' of 'vrienden' ook 'openbaar' laten weergeven.

In de data staan gegevens als naam, woonplaats, geboorteplaats, huwelijkse staat, geslacht en waar diegene werkt. Opvallend is dat er ook een telefoonnummer bij staat. Na te hebben gezocht op mijn eigen naam, staat er een telefoonnummer bij vermeld dat ik voor het laatst in 2019 heb gekoppeld aan mijn Facebook. Het klopt dus wel, maar hoe is dat te verklaren? Hoe is men op mijn telefoonnummer gekomen? Dat is toch wel echt iets wat privé is.

Het lijkt er op dat iemand een bot heeft ontworpen die allereerst probeert in te loggen middels een telefoonnummer. Dat kan namelijk bij Facebook. Bij een onjuist wachtwoord, maar wanneer een telefoonnummer wél gekoppeld is aan een account, wordt er doorgeschakeld naar een volgend scherm:

Daarmee wordt al bevestigd dat het telefoonnummer is gekoppeld aan een account en is daarmee de naam en foto zichtbaar. Via de openbare broncode van de webpagina kan de getoonde naam en link naar de profielfoto worden opgeslagen. Dat is dus deel één. 

Deel twee is om vervolgens de ontwikkelde bot op Facebook te laten zoeken naar de eerder aangegeven naam en te controleren of de link van de profielfoto overeenkomt met de profielfoto van het gevonden account tijdens de mislukte inlogpoging. Indien er een match is, kan er dus meer informatie worden verzameld (gescraped) en worden opgeslagen. Dit gehele proces is vervolgens te automatiseren waardoor de 'scraping' vanzelf gaat, en het een kwestie van tijd is tot dus gegevens van een half miljard personen hebt verzameld. Dat is anno 2021 inderdaad geld waard.

De gelekte informatie is afkomstig uit 2019 nadat de 'hacker' de informatie destijds probeerde te verkopen voor geld, maar niemand tot kopen overging. Vervolgens is de informatie 'dan maar' gratis aangeboden - nu dus.

De informatie kan worden gebruikt voor de welbekende phishing-appjes: een telefoonnummer, naam en link naar Facebookprofiel is namelijk al bekend. Om dat te verklaren, hoe iemand dan op de naam van iemands zoon, dochter of ouders kan komen: met een beetje doorzoeken op een Facebookprofiel kun je immers zien wie de ouders van iemand zijn om vervolgens te zoeken of daar een telefoonnummer van bekend is. 

Er lijkt dus geen sprake te zijn van een hack, maar vooral sprake van slim bezig gaan. Even slim als je bewust zijn van welke data je openbaar deelt en nóóit in te gaan op verdachte betaalverzoeken via SMS of WhatsApp - niet van de welbekende bank en ook niet van kennissen in geldnood die menen een nieuw telefoonnummer te hebben. Facebook heeft overigens haar beveiliging al verbeterd doordat hun pagina's niet meer zomaar te 'scrapen' zijn.

* De aangetroffen data is na het schrijven van deze column weer verwijderd waarna melding is gemaakt bij de aanbieder van de website om de bestanden te verwijderen.