Facebook stelt geheim profiel van ons op
Toen Facebook vrijdag een bug bekendmaakte, kwam ook aan het licht dat het bedrijf schaduwprofielen aan het opstellen is: geheime dossiers van alle gebruikers en niet-gebruikers gebaseerd op alle gegevens die het bedrijf in handen kan krijgen.
Volgens de onderzoekers die de kwetsbaarheid vonden, Packet Storm Security, zijn de profielen die Facebook van surfers opstelt angstaanjagend. Ze brengen zelfs mensen in kaart die geen Facebookprofiel hebben.
[related_article id=”158578″]
Na uitvoerige gesprekken met Facebook hebben de onderzoekers gesteld dat “het probleem zelf is niet met slechte bedoelingen gebouwd, maar het is een over het hoofd geziene fout. De betekenis van wat we ontdekten is het echte probleem dat blijft bestaan.”
Sinds 2012 heeft Facebook met opzet de schaduwprofielen gecombineerd met de Facebookprofielen en hebben die gedeeld met de vrienden van de Facebooker die de tool Download Your Information gebruikten.
Had Facebook zijn bug maar even duidelijk omschreven als Packet Storm dat deed in hun blogpost ‘Facebook: Waar je vrienden je ergste vijanden zijn".
Als je het gedownloade archiefbestand opende, is er een bestand dat addressbook.html heet. Dat bestand moet de contactinformatie bevatten die je geüpload hebt.
Maar door een fout in hoe Facebook deze functie heeft gebouwd, stond er ook contactinformatie in van andere uploads die andere gebruikers deden voor dezelfde persoon. Zo lang er maar een stuk informatie was dat overeen kwam. Zo bouwde Facebook een groot dossier op over mensen.
In onze tests ontdekten we dat het uploaden dan een publiek mailadres genoeg is om een dozijn bijkomende stukjes contactinformatie met het profiel te verbinden.
Daarrbij moet je ook weten dat de opslag van al die gegevens gebeurt voor alles wat er geüpload wordt, of de contactpersonen nu Facebookgebruikers zijn of niet.
De meeste mensen die ontdekten dat ze een schaduwprofiel met contactinformatie hebben zonder dat ze ooit die info naar Facebook stuurden zijn verrast en boos.
Facebook wees zondag op een pagina in hun beleid voor e-mailverzameling en benadrukt dat de gegevens vrijwillig worden geüpload door mensen die de gebruikers kennen.
Het echte verontrustende nieuws kwam er pas toen Packet Storm uitvogelde wat dit voor de individuele gebruiker betekent. Al even verontrustend is wat er gebeurde met de onderzoekers die Facebook benaderden met hun bezorgdheden.
Het feit dat ik geen controle heb over bijkomende e-mailadressen en telefoonnummers die toegevoegd worden aan hun gegevens, beangstigt me. De vragen die we stelde zijn erg to the point, maar zorgvuldig opgesteld om een balans te vinden tussen bruikbaarheid en de veiligheid van gebruikers.
Onze eerste vraag was of Facebook ooit uit privacy-overwegingen en goed fatsoen de gegevens zou weggooien van mensen zonder een account. Misschien als de gegeven een aantal dagen oud zijn en de niet-gebruiker niet ingaat op een uitnodiging waarbij een vriend hun informatie heeft geüpload.
Hun antwoord was dat ze die gegevens beschouwen als de gebruikersgegevens van die ene gebruiker en dat ze ermee mogen doen wat ze willen.
Om duidelijk te zijn: je persoonsgegevens zijn dus niet van jou, maar van je vriend die ze uploadt. We vroegen ook of Facebook privacy-instellingen zou invoeren die stellen dat ze alle gegevens van mij zouden verwijderen die ze via derden verkregen en die niet overeenkomen met wat ik op mijn profiel deel.
We kregen dezelfde redenering op ons bord en ze zeiden dat het verwijderen van die gegevens een inbreuk zou zijn op het recht op vrije meningsuiting.
Facebook verwijst naar zijn beleid om te verantwoorden dat gebruikers geen controle hebben over hun eigen persoonlijke informatie.
Het beleid is dat je informatie niet van jouw is, maar van je vrienden en de vrienden van vrienden of van mensen die je kent. Zij hebben meer macht over je gegevens dan jijzelf.
Packet Storm loofde wel Facebook vanwege zijn snelle reactie tegen de bug.
Het beveiligingsbedrijf benadrukte wel dat het misschien niet Facebooks beveiliging is die stuk is, maar wel Facebooks beleid. “Het is duidelijk dat Facebook het bekendgeraakte beveiligingslek goed aanpakte, maar er blijft bezorgdheid over de dossiers die ze over iedereen opbouwen.”
Je kan weglopen, maar je kan je niet verbergen
De makkelijkste reactie op heel de heisa is schreeuwen dat je geen Facebookaccount moet aanmaken of dat je je bestaande account moet afsluiten. Maar dan nog blijft Facebook informatie over jouw verzamelen in een schaduwprofiel.
Het lijkt erop dat we nog maar pas beginnen inzien waarom de gegevens van Facebook zo waardevol zijn voor adverteerders, overheden, app-makers en kwaadaardige entiteiten.
Packet Storm schrijft hierover:
Het is nu publiek bekend dat Facebook en al deze informatie heeft en iedereen (overheden en criminelen) gaat erop mikken, of het wettelijk is of niet.
Facebook claimt dat ze deze informatie niet aan de overheid gaan geven, maar ze hebben toch alvast de grootste schietschijf op zichzelf geschilderd voor als er ooit problemen komen.
Laat ons hopen dat Facebook naar de boosheid van misnoegde gebruikers luistert en dat ze hun beleid aanpassen. Want als er al een goed moment is om over privacy na te denken, dan is het nu wel.
Toen Facebook vrijdag een bug bekendmaakte, kwam ook aan het licht dat het bedrijf schaduwprofielen aan het opstellen is: geheime dossiers van alle gebruikers en niet-gebruikers gebaseerd op alle gegevens die het bedrijf in handen kan krijgen.
Volgens de onderzoekers die de kwetsbaarheid vonden, Packet Storm Security, zijn de profielen die Facebook van surfers opstelt angstaanjagend. Ze brengen zelfs mensen in kaart die geen Facebookprofiel hebben.
[related_article id=”158578″]
Na uitvoerige gesprekken met Facebook hebben de onderzoekers gesteld dat “het probleem zelf is niet met slechte bedoelingen gebouwd, maar het is een over het hoofd geziene fout. De betekenis van wat we ontdekten is het echte probleem dat blijft bestaan.”
Sinds 2012 heeft Facebook met opzet de schaduwprofielen gecombineerd met de Facebookprofielen en hebben die gedeeld met de vrienden van de Facebooker die de tool Download Your Information gebruikten.
Had Facebook zijn bug maar even duidelijk omschreven als Packet Storm dat deed in hun blogpost ‘Facebook: Waar je vrienden je ergste vijanden zijn".
Als je het gedownloade archiefbestand opende, is er een bestand dat addressbook.html heet. Dat bestand moet de contactinformatie bevatten die je geüpload hebt.
Maar door een fout in hoe Facebook deze functie heeft gebouwd, stond er ook contactinformatie in van andere uploads die andere gebruikers deden voor dezelfde persoon. Zo lang er maar een stuk informatie was dat overeen kwam. Zo bouwde Facebook een groot dossier op over mensen.
In onze tests ontdekten we dat het uploaden dan een publiek mailadres genoeg is om een dozijn bijkomende stukjes contactinformatie met het profiel te verbinden.
Daarrbij moet je ook weten dat de opslag van al die gegevens gebeurt voor alles wat er geüpload wordt, of de contactpersonen nu Facebookgebruikers zijn of niet.
De meeste mensen die ontdekten dat ze een schaduwprofiel met contactinformatie hebben zonder dat ze ooit die info naar Facebook stuurden zijn verrast en boos.
Facebook wees zondag op een pagina in hun beleid voor e-mailverzameling en benadrukt dat de gegevens vrijwillig worden geüpload door mensen die de gebruikers kennen.
Het echte verontrustende nieuws kwam er pas toen Packet Storm uitvogelde wat dit voor de individuele gebruiker betekent. Al even verontrustend is wat er gebeurde met de onderzoekers die Facebook benaderden met hun bezorgdheden.
Het feit dat ik geen controle heb over bijkomende e-mailadressen en telefoonnummers die toegevoegd worden aan hun gegevens, beangstigt me. De vragen die we stelde zijn erg to the point, maar zorgvuldig opgesteld om een balans te vinden tussen bruikbaarheid en de veiligheid van gebruikers.
Onze eerste vraag was of Facebook ooit uit privacy-overwegingen en goed fatsoen de gegevens zou weggooien van mensen zonder een account. Misschien als de gegeven een aantal dagen oud zijn en de niet-gebruiker niet ingaat op een uitnodiging waarbij een vriend hun informatie heeft geüpload.
Hun antwoord was dat ze die gegevens beschouwen als de gebruikersgegevens van die ene gebruiker en dat ze ermee mogen doen wat ze willen.
Om duidelijk te zijn: je persoonsgegevens zijn dus niet van jou, maar van je vriend die ze uploadt. We vroegen ook of Facebook privacy-instellingen zou invoeren die stellen dat ze alle gegevens van mij zouden verwijderen die ze via derden verkregen en die niet overeenkomen met wat ik op mijn profiel deel.
We kregen dezelfde redenering op ons bord en ze zeiden dat het verwijderen van die gegevens een inbreuk zou zijn op het recht op vrije meningsuiting.
Facebook verwijst naar zijn beleid om te verantwoorden dat gebruikers geen controle hebben over hun eigen persoonlijke informatie.
Het beleid is dat je informatie niet van jouw is, maar van je vrienden en de vrienden van vrienden of van mensen die je kent. Zij hebben meer macht over je gegevens dan jijzelf.
Packet Storm loofde wel Facebook vanwege zijn snelle reactie tegen de bug.
Het beveiligingsbedrijf benadrukte wel dat het misschien niet Facebooks beveiliging is die stuk is, maar wel Facebooks beleid. “Het is duidelijk dat Facebook het bekendgeraakte beveiligingslek goed aanpakte, maar er blijft bezorgdheid over de dossiers die ze over iedereen opbouwen.”
Je kan weglopen, maar je kan je niet verbergen
De makkelijkste reactie op heel de heisa is schreeuwen dat je geen Facebookaccount moet aanmaken of dat je je bestaande account moet afsluiten. Maar dan nog blijft Facebook informatie over jouw verzamelen in een schaduwprofiel.
Het lijkt erop dat we nog maar pas beginnen inzien waarom de gegevens van Facebook zo waardevol zijn voor adverteerders, overheden, app-makers en kwaadaardige entiteiten.
Packet Storm schrijft hierover:
Het is nu publiek bekend dat Facebook en al deze informatie heeft en iedereen (overheden en criminelen) gaat erop mikken, of het wettelijk is of niet.
Facebook claimt dat ze deze informatie niet aan de overheid gaan geven, maar ze hebben toch alvast de grootste schietschijf op zichzelf geschilderd voor als er ooit problemen komen.
Laat ons hopen dat Facebook naar de boosheid van misnoegde gebruikers luistert en dat ze hun beleid aanpassen. Want als er al een goed moment is om over privacy na te denken, dan is het nu wel.
