Sluit je aan!
NPO
Kassa

Dit betekent een datalek voor jouw persoonsgegevens

09-04-2021
  •  
leestijd 5 minuten
  •  
8099 keer bekeken
  •  
computer_datalek
Of je persoonsgegevens nou in handen zijn van Facebook of de GGD, er is altijd een kans dat ze in verkeerde handen terechtkomen. Hoe zorgwekkend is dat? In dit artikel vertellen we je alles over datalekken en leggen we uit hoe je zelf de schade kunt beperken.
Een datalek vindt plaats als persoonsgegevens die je aan een bepaalde organisatie toevertrouwt, zoals telefoonnummers, emailadressen of zelfs wachtwoorden, ineens voor derden beschikbaar zijn. Datalekken komen vaak voor, ook in het klein. Bijvoorbeeld als er een mailtje met gevoelige informatie naar de verkeerde persoon wordt gestuurd.

Het Facebook-lek

In het geval van Facebook gaat het om een veel groter lek. Zaterdag werd duidelijk dat de gegevens van 533 miljoen Facebook-gebruikers op straat liggen. Ongeveer de helft van alle Nederlandse Facebookgebruikers (5,4 miljoen mensen) is daarin terug te vinden.
Het gaat om informatie die al openbaar is, zoals je telefoonnummer, mailadres, beroep en relatiestatus. De mensen die hun telefoonnummer hebben afgeschermd, zijn waarschijnlijk geen slachtoffer van het lek.

Verzamelde gegevens

Om te begrijpen wat er precies op straat ligt, is het goed om te weten dat Facebook veel informatie van haar 2,3 miljard gebruikers verzamelt. Het bedrijf heeft bijvoorbeeld je contactgegevens, zoals je mailadres en telefoonnummer. Logisch, want die heb je bij het aanmaken van je account zelf ingevuld.
Maar ook je locatiegegevens, financiën en activiteiten op het internet heeft het bedrijf in de smiezen. Zelfs de tijd die je besteedt aan het bekijken van een advertentie wordt bijgehouden. Voor Facebook is dat handig, want hoe beter het bedrijf haar gebruikers kent, hoe gerichter de advertenties op de site kunnen zijn. Niet alle informatie die Facebook verzamelt, is gelekt. Toch kunnen kwaadwillenden nu makkelijker achter je telefoonnummer en e-mailadres komen.

Namen en nummers in een database

Net als het e-mailadres is het telefoonnummer van veel mensen openbare informatie op Facebook. Gebruikers die hun nummer invoeren bij hun gegevens, kunnen aangeven of ze dit af willen schermen, maar lang niet iedereen doet dat.
Daardoor was het tot een paar jaar geleden zelfs mogelijk om een persoon te vinden door diens telefoonnummer in de zoekbalk in te voeren. In 2017 liet een Vlaamse journalist zien dat hij daarmee het nummer van de Belgische minister van Veiligheid kon achterhalen.
In het geval van deze journalist ging het om éen persoon, maar kwaadwillenden konden met deze truc op grote schaal de nummers van mensen achterhalen. Ze maakten een programma dat elk nummer ter wereld uitprobeerde. De namen die in het resultaat verschenen werden, samen met andere persoonlijke informatie,  opgeslagen in een database. Die werd eerst nog te koop aangeboden, maar is nu gratis in te zien.

In een paar tellen inzicht

Als je handig bent met computers, kun je in een handomdraai aan de gegevens komen. Ook tech-expert Danny Mekić lukte het, tot zijn eigen verbazing, gemakkelijk: “Ik had er maar een paar tellen voor nodig. Deze gegevens liggen echt voor het oprapen.” Tot zijn eigen opluchting vond hij zijn naam niet terug. “Gelukkig heb ik ingesteld dat mijn telefoonnummer niet voor iedereen zichtbaar mag zijn. Blijkbaar heeft dat geholpen.”
Zo’n database maakt het werk van oplichters die phisingmails of -sms'jes willen sturen makkelijker. “Hoe meer details iemand van je weet, hoe betrouwbaarder het bericht lijkt”, zegt Mekić. “Als je een sms’je krijgt van iemand die zich voor kan doen als je werkgever, en hij weet bijvoorbeeld hoe je heet, dan is de kans groter dat je erin trapt.”

De beste experts

Volgens Mekić betekent het lek niet dat Facebook niet goed beveiligd is. “Dit lek heeft niks met de beveiliging van Facebook te maken. Dat profielen opgezocht konden worden via telefoonnummers, was een functionaliteit van de site en een instelling die door gebruikers te wijzigen was. Wel had Facebook dit kunnen voorkomen, simpelweg door die functionaliteit nooit aan te bieden.”
Iets voor honderd procent beveiligen is praktisch onmogelijk, maar volgens Mekic komen bedrijven als Google en Facebook wel in de buurt. "Die hebben op dit gebied de beste experts in dienst en doen echt hun best om informatie te beveiligen. Ik moet zeggen: dat gaat opvallend goed. Een groot beveiligingslek is er nooit geweest. Terwijl er toch echt wel datarampen denkbaar zijn.” 

Chatberichten

Mekić noemt als voorbeeld de berichtenfunctie Facebook Messenger. “In tegenstelling tot WhatsApp zijn berichten daarop niet versleuteld. Als het je lukt om de servers binnen te dringen, krijg je toegang tot privégesprekken van miljoenen mensen. Dat is alleen nog nooit iemand gelukt. Daar verdienen bedrijven als Facebook wel een compliment voor.”
Hij moet er niet aan denken dat er ooit zo’n groot lek komt. "Moet je je voorstellen wat er zou gebeuren als het hackers die miljarden berichten in handen krijgen. Hoeveel relaties zouden dan stuklopen, hoeveel mensen zullen dan ontslagen worden? Of wat als een hacker ooit toegang zou krijgen tot alle e-mails ooit ontvangen en verzonden via Gmail? "

Datahygiëne

“Dit lek is dus wel een goede waarschuwing om nog eens goed naar je privacy-instellingen te kijken. Als jij niet wil dat Facebook je nummer heeft, kun je ze gewoon verzoeken om het weg te halen. Bovendien worden de opties voor privacy-instellingen vaak uitgebreid, dus het is goed om ze eens in de zoveel tijd na te lopen.”
Dat soort ‘datahygiëne’ is volgens Mekić heel erg belangrijk. “Gebruik je een account niet meer, sluit het dan. Laat het niet doorslapen. Als je je account sluit, is het platform verplicht je gegevens te verwijderen.”

Tips & Tricks

Mekić heeft nog een paar tips zodat je jezelf kunt beschermen tegen een datalek.

  1. Neem een e-simkaart. Daarmee beschik je over een tweede telefoonnummer dat je vervolgens kunt gebruiken als je je ergens wil aanmelden. Zo is de kans kleiner dat je echte nummer in de openbaarheid terecht komt.
  2. Maak gebruik van een uniek mailadres per website. Voor gebruikers van Gmail kan dat gemakkelijk. Stel: je mailadres is kassa@gmail.com, dan kun je voor Facebook het adres kassa+facebook@gmail.com gebruiken. Mailtjes naar dat adres komen ook in jouw mailbox terecht, maar je kunt daaraan zien hoe de afzender aan je gegevens komt.”
  3. Maak voor elke site een uniek wachtwoord aan. Zo hoef je je geen zorgen te maken over andere accounts als je wachtwoord ooit in een datalek te vinden is. Bang om je wachtwoord te vergeten? In de appstores zijn verschillende wachtwoordmanagers die je kunt gebruiken.

Zien of je gegevens in een lek zitten?

Facebook heeft al aangegeven dat het getroffen gebruikers niet wil benaderen. Gelukkig zijn er door ethisch hackers een aantal tools opgebouwd. Een daarvan is het gerenommeerde haveibeenpwned.com. Hiervoor moet je alleen wel je nummer invoeren. Gelukkig is er voor Nederlanders een alternatief.
Bronnen: Inti de Ceukelaire, Daniël Verlaan, Tweakers.nl, RTL Nieuws, Autoriteit Persoonsgegevens, Datanews
Delen:

Praat mee

Heb je een vraag, suggestie of wil je gewoon iets kwijt? Dat kan hier. Lees onze spelregels.

avatar

Reacties (9)

Chris G
Chris G10 apr. 2021 - 17:27

Mocht je je 06 nummer gebruiken op Facebook wat niet verplicht is maar voor contactpersonen belangrijk. Kijk even op https://benikerbij.nl/ of je 06 nummer niet ergens op duistere sites op internet rondslingert. Voorkomt een hoop ellende.

Log in om te reageren0Rapporteren
Jan_Koll
Jan_Koll9 apr. 2021 - 14:00

Oeps vergeten: KeePass is gratis....

Log in om te reageren0Rapporteren
Jan_Koll
Jan_Koll9 apr. 2021 - 13:58

Het derde advies is eigenlijk het belangrijkste "maak voor elke website een apart wachtwoord aan". Dat kan supersimpel en erg veilig: download en installeer "KeePass" (https://keepass.info/). Deze wachtwoordmanager maakt zelf geweldig moeilijke wachtwoorden, b.v. "v542BQgpJkYqPEfL" of nog fraaier ".WEiwDAr%29Zq[" met een punt, een procentteken en een haak. Gewoon op "genereer wachtwoord" klikken en even kijken welke van de voorgestelde je het mooiste vind... KeePass bewaar je NIET online maar op een zelf gekozen medium, b.v. een USB-stick; dus een datalek bij een onlineopslag raakt je niet. Wel is zeer raadzaam om ergens een kopie (of meer kopieën) van de KeePass database op te slaan, want als er iets mis mocht gaan “ben je de sjaak" want alles kwijt!! Ook handig is dat je de database als csv-bestand kunt exporteren (of daaruit importeren) en nog eens zien wat je allemaal aan wachtwoorden en gebruikersnamen hebt. Het enige KeePass is beschikbaar voor Windows, Linux en Apple MacOS.

Log in om te reageren0Rapporteren
ja_visser
ja_visser9 apr. 2021 - 12:35

Enige maanden geleden wilde ik een harddisk bestellen bij de Mediamarkt in Heerlen. Ik geef nooit mijn voornaam omdat ik daar niet van hou. Ik vulde mijn initialen in. Kreeg bericht: voornaam wordt niet als dusdanig erkent. Waarschijnlijk ligt dit aan de punten achter de letters achter mijn initialen. Ik kon toen nog naar de Mediamarkt in Hertzogenrath (Duitsland) , de Duitse helft van Kerkrade, en heb daar mijn harde schijf gekocht. Dit is toch iets dat eigenlijk niet mogelijk zou moeten zijn. Het maakt het online bestellen deels onmogelijk. J. A. Visser

Log in om te reageren0Rapporteren
gerrit250
gerrit2509 apr. 2021 - 11:03

Een bank (broker op de beurs) wil een kopie van mijn paspoort. Ik heb dat gegeven maar mijn BSN nummer afgeplakt. Dat wordt niet geaccepteerd. Men wil een volledige kopie met BSN nummer. Ik vind dat je gevaarlijk. Ik heb geen enkele vertrouwen in het internet of een database bij welk organisatie dan ook. Vroeg of laat wordt het gehackt. Ben ik verplicht een volledige kopie via internet te uploaden te geven? Kan dit eventueel ook anders? /

Log in om te reageren0Rapporteren
2 Reacties
hidkees
hidkees10 apr. 2021 - 9:00

De overheid verplicht banken om te zorgen voor een volledige identificatie van hun klanten. Dit i.v.m. de vele witwasacties via banken en ander criminaliteit. Vaak kun je de ID-kopie per post versturen, maar of dat helemaal veilig is? Persoonlijk bij de bank afgeven is misschien een mogelijkheid.

0Rapporteren
alk
alk25 apr. 2021 - 10:45

Op https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/ben-ik-verplicht-om-een-kopie-van-mijn-identiteitsbewijs-te-geven-aan-een-bedrijf, staat precies wat financiële instellingen voor gegeven moeten verzamelen. Banken willen nog wel eens meer weten dan waar ze recht op hebben. Bij het openen van een internet rekening is een pasfoto en je lengte van geen enkel belang voor de bank. Deze maak ik dan ook zwart. Een bank wil je BSN weten voor de belastingdienst. Een telefoon winkel gaat dat ook niets aan. Ook de bedragen en wie de tegenpartij is, op het recente bankafschrift welke je moet opsturen, is van geen enkel belang. Het gaat erom dat dat je Ibannummer en je adres erop staan. Banken willen nog wel eens hardleers zijn, maar met een verwijzing naar de Rijksoverheid willen ze nog wel eens hun beleid veranderen.

0Rapporteren
loek10
loek109 apr. 2021 - 9:43

De beste bescherming is by far: stoppen met facebook !

Log in om te reageren1Rapporteren
aedijs
aedijs9 apr. 2021 - 9:39

Bij haveibeenpwned.com ben ik wel gehackt, bij het Nederlandse alternatief niet. Dat laatste biedt dus geen juist 100% zekerheid

Log in om te reageren0Rapporteren

Altijd op de hoogte blijven van het laatste nieuws?

Meld je snel en gratis aan voor de Kassa nieuwsbrief!