Bij Facebook heeft een datalek plaatsgevonden waarbij de gegevens van 267 miljoen gebruikers via een onbeveiligde database zijn gecompromitteerd. Het betreft namen, telefoonnummers en gebruiker-ID’s van vooral Amerikaanse Facebookgebruikers.
De database waarin deze gegevens waren opgeslagen, was voor iedereen op internet zonder wachtwoord toegankelijk. Beveiligingsonderzoeker Bob Diachenko heeft het datalek ontdekt. Volgens hem zijn de gegevens waarschijnlijk vergaard via een illegale scrapingoperatie of door misbruik van de Facebook-API.
Programmeerinterface
Het is echter onduidelijk hoe de data zijn bemachtigd. Facebook heeft voor ontwikkelaars een programmeerinterface, waarmee ze toegang tot gegevens van gebruikers kunnen krijgen. Daarbij gaat het om profielen, vriendenlijsten, groepen en foto’s. Vorig jaar besloot Facebook de toegang tot telefoonnummers te beperken. Een andere mogelijkheid is dat de data zijn bemachtigd door deze te scrapen vanaf profielpagina’s die voor het publiek toegankelijk zijn.
Hacker forum
De database werd afgelopen 4 december door een zoekmachine geïndexeerd. Op 12 december werd de database volgens Diachenko op een ‘hacker forum’ aangeboden. Op 14 december ontdekte hij de database. Daarop waarschuwde de beveiligingsonderzoeker meteen de provider die het IP-adres van de server beheert. Sinds gisteren is de database niet meer toegankelijk.