De Ierse privacywaakhond, oftewel de Data Protection Commission Ireland, heeft bekendgemaakt dat het bij minder dan tien procent van de door de recente aanval op Facebook getroffen gebruikers om mensen uit de EU gaat. Dat zou neerkomen op maximaal 5 miljoen gebruikers.

De privacywaakhond maakt de van Facebook afkomstige cijfers bekend in een tweet. Daarin schrijft de organisatie ook dat Facebook heeft toegezegd in de toekomst met meer details over de aantallen te komen. Eerder .@DPCIreland is awaiting from Facebook further urgent details of the security breach impacting some 50m users, including details of EU users which have been affected, so that we can properly assess the nature of the breach and risk to users. #dataprotection #GDPR #eudatap… https://t.co/xEWbFR52GK"" style="color: rgb(1, 74, 147); text-decoration: underline;">zei de waakhond op cijfers van Facebook te wachten om het risico voor gebruikers in kaart te brengen en de 'aard van het lek' vast te stellen. In een reactie op het huidige bericht van de privacywaakhond bevestigt Facebook dat het voorlopige gegevens deelt met de organisatie en dat het eraan werkt de locatie van de getroffen gebruikers te achterhalen.

Eerste details over de hack op Facebook kwamen aan het einde van vorige week naar buiten. Toen zei Facebook dat een kwetsbaarheid in de View As-functie, die het mogelijk maakt profielen te bekijken als iemand anders, toegang gaf tot de accounts van bijna 50 miljoen gebruikers via 'access tokens'. In een aanvulling op het originele bericht gaf Facebook meer informatie over de toedracht van het incident, waarin het stelde dat het in feite om een combinatie van drie bugs ging.

Zo gaf de View As-functie in een bepaald geval de mogelijkheid een video te uploaden, terwijl het eigenlijk om een view only-functie zou moeten gaan. De tweede bug had te maken met de video-uploader, die een access token genereerde terwijl dat niet de bedoeling was. De derde bug was dat dit token niet toebehoorde aan de gebruiker die de View As-functie gebruikte, maar aan een gebruiker die door de aanvallers kon worden gekozen. Doordat dit token in de html-code op de pagina aanwezig was, konden de aanvallers dit gebruiken om in te loggen als die gebruiker. Vervolgens konden ze dit proces herhalen om meer tokens buit te maken.

De Europese privacyverordening AVG vereist dat een lek binnen 72 uur wordt gemeld, een eis waaraan Facebook lijkt te hebben voldaan. Het bedrijf kan alsnog een boete ontvangen van maximaal 4 procent van zijn wereldwijde jaaromzet, wat zou neerkomen op omgerekend 1,41 miljard euro. Of dit ook gebeurt, is momenteel onduidelijk.

Reacties mogelijk gemaakt door CComment