Dit betekent een datalek voor jouw persoonsgegevens

Een datalek vindt plaats als persoonsgegevens die je aan een bepaalde organisatie toevertrouwt, zoals telefoonnummers, emailadressen of zelfs wachtwoorden, ineens voor derden beschikbaar zijn. Datalekken komen vaak voor, ook in het klein. Bijvoorbeeld als er een mailtje met gevoelige informatie naar de verkeerde persoon wordt gestuurd.

In het geval van Facebook gaat het om een veel groter lek. Zaterdag werd duidelijk dat de gegevens van 533 miljoen Facebook-gebruikers op straat liggen. Ongeveer de helft van alle Nederlandse Facebookgebruikers (5,4 miljoen mensen) is daarin terug te vinden.

Het gaat om informatie die al openbaar is, zoals je telefoonnummer, mailadres, beroep en relatiestatus. De mensen die hun telefoonnummer hebben afgeschermd, zijn waarschijnlijk geen slachtoffer van het lek.

Om te begrijpen wat er precies op straat ligt, is het goed om te weten dat Facebook veel informatie van haar 2,3 miljard gebruikers verzamelt. Het bedrijf heeft bijvoorbeeld je contactgegevens, zoals je mailadres en telefoonnummer. Logisch, want die heb je bij het aanmaken van je account zelf ingevuld.

Maar ook je locatiegegevens, financiën en activiteiten op het internet heeft het bedrijf in de smiezen. Zelfs de tijd die je besteedt aan het bekijken van een advertentie wordt bijgehouden. Voor Facebook is dat handig, want hoe beter het bedrijf haar gebruikers kent, hoe gerichter de advertenties op de site kunnen zijn. Niet alle informatie die Facebook verzamelt, is gelekt. Toch kunnen kwaadwillenden nu makkelijker achter je telefoonnummer en e-mailadres komen.

Net als het e-mailadres is het telefoonnummer van veel mensen openbare informatie op Facebook. Gebruikers die hun nummer invoeren bij hun gegevens, kunnen aangeven of ze dit af willen schermen, maar lang niet iedereen doet dat.

Daardoor was het tot een paar jaar geleden zelfs mogelijk om een persoon te vinden door diens telefoonnummer in de zoekbalk in te voeren. In 2017 liet een Vlaamse journalist zien dat hij daarmee het nummer van de Belgische minister van Veiligheid kon achterhalen.

In het geval van deze journalist ging het om éen persoon, maar kwaadwillenden konden met deze truc op grote schaal de nummers van mensen achterhalen. Ze maakten een programma dat elk nummer ter wereld uitprobeerde. De namen die in het resultaat verschenen werden, samen met andere persoonlijke informatie,  opgeslagen in een database. Die werd eerst nog te koop aangeboden, maar is nu gratis in te zien.

Als je handig bent met computers, kun je in een handomdraai aan de gegevens komen. Ook tech-expert Danny Mekić lukte het, tot zijn eigen verbazing, gemakkelijk: “Ik had er maar een paar tellen voor nodig. Deze gegevens liggen echt voor het oprapen.” Tot zijn eigen opluchting vond hij zijn naam niet terug. “Gelukkig heb ik ingesteld dat mijn telefoonnummer niet voor iedereen zichtbaar mag zijn. Blijkbaar heeft dat geholpen.”

Zo’n database maakt het werk van oplichters die phisingmails of -sms'jes willen sturen makkelijker. “Hoe meer details iemand van je weet, hoe betrouwbaarder het bericht lijkt”, zegt Mekić. “Als je een sms’je krijgt van iemand die zich voor kan doen als je werkgever, en hij weet bijvoorbeeld hoe je heet, dan is de kans groter dat je erin trapt.”

Volgens Mekić betekent het lek niet dat Facebook niet goed beveiligd is. “Dit lek heeft niks met de beveiliging van Facebook te maken. Dat profielen opgezocht konden worden via telefoonnummers, was een functionaliteit van de site en een instelling die door gebruikers te wijzigen was. Wel had Facebook dit kunnen voorkomen, simpelweg door die functionaliteit nooit aan te bieden.”

Iets voor honderd procent beveiligen is praktisch onmogelijk, maar volgens Mekic komen bedrijven als Google en Facebook wel in de buurt. "Die hebben op dit gebied de beste experts in dienst en doen echt hun best om informatie te beveiligen. Ik moet zeggen: dat gaat opvallend goed. Een groot beveiligingslek is er nooit geweest. Terwijl er toch echt wel datarampen denkbaar zijn.” 

Mekić noemt als voorbeeld de berichtenfunctie Facebook Messenger. “In tegenstelling tot WhatsApp zijn berichten daarop niet versleuteld. Als het je lukt om de servers binnen te dringen, krijg je toegang tot privégesprekken van miljoenen mensen. Dat is alleen nog nooit iemand gelukt. Daar verdienen bedrijven als Facebook wel een compliment voor.”

Hij moet er niet aan denken dat er ooit zo’n groot lek komt. "Moet je je voorstellen wat er zou gebeuren als het hackers die miljarden berichten in handen krijgen. Hoeveel relaties zouden dan stuklopen, hoeveel mensen zullen dan ontslagen worden? Of wat als een hacker ooit toegang zou krijgen tot alle e-mails ooit ontvangen en verzonden via Gmail? "

“Dit lek is dus wel een goede waarschuwing om nog eens goed naar je privacy-instellingen te kijken. Als jij niet wil dat Facebook je nummer heeft, kun je ze gewoon verzoeken om het weg te halen. Bovendien worden de opties voor privacy-instellingen vaak uitgebreid, dus het is goed om ze eens in de zoveel tijd na te lopen.”

Dat soort ‘datahygiëne’ is volgens Mekić heel erg belangrijk. “Gebruik je een account niet meer, sluit het dan. Laat het niet doorslapen. Als je je account sluit, is het platform verplicht je gegevens te verwijderen.”

Mekić heeft nog een paar tips zodat je jezelf kunt beschermen tegen een datalek.

1. Neem een e-simkaart. Daarmee beschik je over een tweede telefoonnummer dat je vervolgens kunt gebruiken als je je ergens wil aanmelden. Zo is de kans kleiner dat je echte nummer in de openbaarheid terecht komt.
2. Maak gebruik van een uniek mailadres per website. Voor gebruikers van Gmail kan dat gemakkelijk. Stel: je mailadres is kassa@gmail.com, dan kun je voor Facebook het adres kassa+facebook@gmail.com gebruiken. Mailtjes naar dat adres komen ook in jouw mailbox terecht, maar je kunt daaraan zien hoe de afzender aan je gegevens komt.”
3. Maak voor elke site een uniek wachtwoord aan. Zo hoef je je geen zorgen te maken over andere accounts als je wachtwoord ooit in een datalek te vinden is. Bang om je wachtwoord te vergeten? In de appstores zijn verschillende wachtwoordmanagers die je kunt gebruiken.

Facebook heeft al aangegeven dat het getroffen gebruikers niet wil benaderen. Gelukkig zijn er door ethisch hackers een aantal tools opgebouwd. Een daarvan is het gerenommeerde haveibeenpwned.com. Hiervoor moet je alleen wel je nummer invoeren. Gelukkig is er voor Nederlanders een alternatief.