Sociaalnetwerksite Facebook is aangemaand om zijn privacy-instellingen te verstrengen, nadat een softwaretechnicus erin geslaagd is om van duizenden gebruikers data te verkrijgen door simpelweg hun gsm-nummers te raden. Dat kan zelfs indien je ervoor gekozen hebt om je telefoonnummer niet openbaar te maken.

De privacykwetsbaarheid werd ontdekt door Reza Moaiandin, een softwaretechnicus. Hij is erin geslaagd door willekeurige telefoonnummers in Facebooks zoekmachine in te geven, belangrijke gegevens van onbekende mensen te verzamelen: foto, naam, nationaliteit, en afhankelijk van de privacyinstellingen van die persoon nog veel meer. Op die manier kunnen kwaadwillende hackers gigantische databanken aanmaken met persoonsgegevens.

Onbekende privacy-instelling

Ook Moaiandin deed dat, maar dan wel enkel met de bedoeling om de kwetsbaarheid aan te tonen. Met een simpel algoritme maakt hij duizenden telefoonnummers per seconde aan, die hij vervolgens naar Facebooks application programming interface (API) verzond. Dat is een tool die ontwikkelaars kunnen gebruiken om eigen apps met het sociale netwerk te verbinden. Op enkele minuten tijd had hij al een databank aangemaakt met de gegevens van duizenden personen.

Moaiandin maakte gebruik van een privacyinstelling waar weinige Facebook-gebruikers weet van hebben. Op de pagina met Privacy-instellingen is er een gedeelte waarin je kan aanduiden wie jouw profiel kan vinden, en op welke manieren. En op de voorlaatste positie zien we de tekst ‘Wie kan je zoeken met behulp van het telefoonnummer dat je hebt opgegeven?’. Als die instelling op ‘Iedereen’ staat, dan kan de hele wereld jouw profiel dus vinden op basis van je telefoonnummer. Zelfs als je er op een andere plaats in de instellingen voor gekozen hebt om dat nummer niet publiek te maken op je profiel.

“Geen kwetsbaarheid”

Moaiandin waarschuwde Facebook over de kwetsbaarheid in april, en vervolgens opnieuw op 28 juli. Dat is wanneer een Facebook-werknemer hem contacteerde met het antwoord dat Facebook voldoende maatregelen heeft genomen om verdacht gedrag te detecteren. Hij voegde eraan toe dat de melding van Moaiandin “niet aanzien wordt als een beveiligingsprobleem, maar dat ze wel degelijk het systeem monitoren voor misbruik.

Daar stelt Moiandin zich echter niet tevreden mee, en dat is waarom hij zijn verhaal doet aan de Britse krant The Guardian. “Iemand met kennis van zaken zou op enkele minuten tijd al het telefoonnummer van een beroemd iemand kunnen vinden, indien deze persoon het telefoonnummer aan zijn of haar profiel heeft gekoppeld. Iets wat in veel gevallen gebeurt als je de mobiele app van Facebook gebruikt.”