Miljoenen privégegevens Facebookgebruikers gelekt

[Captain Kirk]

Onderzoekers hebben op een cloudserver van Amazon miljoenen privégegevens van Facebookgebruikers ontdekt die voor iedereen op internet toegankelijk waren. De gegevens waren via twee derde partijen verzameld en in een Amazon S3-bucket opgeslagen.

Via een S3-bucket kunnen organisaties allerlei gegevens in de cloud van Amazon opslaan. Standaard staan S3-buckets zo ingesteld dat ze niet voor onbevoegden toegankelijk zijn. De buckets van het Mexicaanse Cultura Colectiva, een contentplatform, en de Facebook-app "At the Pool" waren voor iedereen op internet toegankelijk. Alleen het kennen van de url was voldoende.

In het geval van Cultura Colectiva ging het om een dataset van 146 gigabyte met 540 miljoen records, waaronder reacties, likes, gebruikersnamen, Facebook-ID's en meer. De back-up van At the Pool bevatte informatie over 22.000 gebruikers, waaronder hun plaintext wachtwoorden voor de app, namen, e-mailadressen, Facebook-ID en andere gegevens. At the Pool stopte in 2014 en het achterliggende bedrijf bestaat niet meer. De back-up met gebruikersgegevens bleek echter nog rond te zwerven.

"De datasets verschillen in wanneer ze voor het laatst zijn bijgewerkt, de datapunten die ze bevatten en het aantal unieke individuen. Wat ze verbindt is dat ze beide data over Facebookgebruikers bevatten, hun interesses, relaties en interacties beschrijven, die voor third party-ontwikkelaars toegankelijk waren", aldus securitybedrijf UpGuard dat de datasets ontdekte.

Datalek

Cultura Collectiva werd op 10 januari via e-mail ingelicht door UpGuard, gevolgd door een tweede e-mail op 14 januari. UpGuard heeft nog altijd geen enkele reactie van het contentplatform ontvangen. Vervolgens waarschuwde het securitybedrijf Amazon op 28 januari, dat op 1 februari liet weten dat de eigenaar over het datalek was ingelicht.

Drie weken later op 21 februari was de data nog steeds niet beveiligd en stapte UpGuard opnieuw naar Amazon, dat liet weten naar de zaak te zullen kijken. Pas nadat Facebook was ingelicht werd de dataset op 3 april beveiligd. De dataset van At the Pool was al tijdens het onderzoek offline gehaald.

 

 

bron: security.nl