Miljoenen Europeanen getroffen, Facebook meldt datalek

Facebook heeft voldaan aan de 72-uur deadline van de AVG meldplicht bij datalekken, maar kan wellicht nog een boete van 1,4 miljard euro tegemoet zien.

Publiceerden we eind september nog over hoe Facebook persoonsgegevens zonder grondslag gebruikt voor een ander doel dan bedoeld, een nog minder rooskleurig bericht omtrent Facebook volgde reeds binnen enkele uren.

Facebook profiel bekijken, "view as"

Gegevens van bijna 50 miljoen Facebook-accounts konden worden ingezien, bij een aanval op een computernetwerk van Facebook. Dit gebeurde via de functie waarbij men hun eigen profiel konden bekijken als een andere gebruiker, de zogenaamde "View as" toepassing.

Deze functie kon onder meer gebruikt worden om na te gaan of anderen niet meer konden zien dan de bedoeling is. Een zogenaamde privacy-setting. Dit heeft echter tijdelijk averechts gewerkt, via deze weg konden access-tokens buit worden gemaakt. Deze "View as" functie is hierop tijdelijk uitgeschakeld.

Lering: loggen van requests

Alhoewel volgens Facebook geen wachtwoorden zijn gestolen, zijn als veiligheidsmaatregel ruim 90 miljoen Facebook-gebruikers vrijdag uitgelogd op het netwerk. Dit betroffen voornamelijk gebruikers welke in het afgelopen jaar deze "View as" toepassing heeft gebruikt.

Hieruit kan geconcludeerd worden, dat Facebook gebruik maakt van logging van gedane requests namens gebruikers. Met deze data, hebben ze kunnen bepalen welke gebruikers getroffen zouden kunnen zijn door de ontdekte datalek. Bijbehorende accounts hebben ze naar alle waarschijnlijk geautomatiseerd uitgelogd, om zo af te dwingen dat er een nieuwe access-token gegenereerd moet worden, zodat kwaadwillenden niet meer aan de haal kunnen gaan met eventueel eerder bemachtigde access-tokens. Het loggen van requests, kan dus helpen in het bepalen van mogelijk betrokkenen als ook toepassen van maatregelen, in het geval van een datalek.

Of en in welke mate accounts en persoonsgegevens misbruikt zijn en waar de aanvallers vandaan komen, wordt nog door Facebook onderzocht. In ieder geval kan (hooguit) data dat via de Facebook-API onttrokken kan worden middels een access-token, in handen zijn gekomen van kwaadwillenden. Hieronder vallen adresgegevens, familie-leden en bijvoorbeeld foto's. Doordat het wachtwoord hier niet onder valt, is er geen noodzaak om het wachtwoord te wijzigen.

Nu.nl meldt verder dat Facebook bekend heeft gemaakt dat van de bijna 50 miljoen getroffen accounts, het minder dan 5 miljoen Europeaanse accounts betreffen.

Facebook meldt datalek binnen deadline

Zoals voorgeschreven door de Europese privacy wetgeving (GDPR), heeft Facebook dit lek binnen 72 uur gemeld bij de Ierse toezichthouder, de Data Protection Commission (DPC). Alhoewel het vooral volgens Facebook plaats vond op dinsdag 25 september, is het lek pas later (vrijdag 28 september) ontdekt.

Artikel 33 van de AVG bepaalt dat (net als onder de Wbp) een datalek binnen 72 uur aan de toezichthouder gemeld moet worden. Het moment waarop de zogenaamde klok begint te tikken, is vanaf moment van constatering. Bij gebrek aan aanvullende details omtrent de datalek, heeft de betrokken privacy toezichthouder Facebook aanvullende vragen voorgelegd.

Miljarden-boete voor Facebook?

Door vanaf vrijdag het lek binnen 72 uur gemeld te hebben, wendt Facebook een eerste hoge boete af. Wanneer een bedrijf niet aan de deadline voldoet, kan het een boete van maximaal 2 procent van de mondiale omzet opgelegd krijgen.

Een boete die zelfs hoger uit kan vallen, ligt echter nog binnen de mogelijkheden. Mocht de Ierse toezichthouder van mening zijn dat Facebook niet genoeg gedaan heeft om de privacy van gebruikers te waarborgen, dan ligt een boete van 20 miljoen of 4 procent van de jaaromzet in het verschiet. Omdat het hoogste telt, zal dit voor Facebook uitkomen op een bedrag van 1,4 miljard euro.