Door onbeveiligde opslag hebben Facebook en Instagram jarenlang honderden miljoenen wachtwoorden laten lekken. En zeker twintigduizend medewerkers van Facebook hadden toegang tot de databases zonder daarvoor gekwalificeerd te zijn. Dat stelt althans beveiligingsonderzoeker Brian Krebs.
De onderzoeker denkt dat tussen de 200 en 600 miljoen Facebook-gebruikers hiervan het slachtoffer waren. Dit gebeurde vanaf vanaf 2012. De resultaten worden deels door Facebook bevestigd. De techreus zegt er wel bij dat het meestal gebruikers betreft van Facebook Lite. Deze lichtere versie van het platform is in ons land alleen beschikbaar voor Androidgebruikers. Welke versie van Instagram is getroffen en hoe is nog niet duidelijk.
Tekenreeksen
Het probleem zit hem in het ‘hashen’ van wachtwoorden. Normaal gesproken wordt een door een gebruiker ingevoerd wachtwoord automatisch in zo’n hash omgezet. Deze moet overeenkomen met de hash die al is opgeslagen. Alleen dan lukt de inlog.
Onderzoeker Krebs stelt dat Facebook wachtwoorden niet altijdt hasht. En dus werden de toegangscodes gewoon opgeslagen als platte tekst. Dan is het voor kwaadwillenden een koud kunstje om toegang te krijgen tot een account van een Facebook- gebruiker.
De woordvoerder van het bedrijf kon nog niet zeggen om welek toepassingen het gaat. Verder is er ook nog geen antwoord op de vraag of het gaat om een of meerdere opslaglocaties. Facebook stelt wel dat er intussen nog geen bewijzen zijn gevonden van misbruik van de kwetsbaarheid.
Eigenlijk speelt het lek al sinds januari, toen Facebook op de hoogte raakte van de situatie. Het bedrijf belooft nu de getroffen gebruikers te zullen informeren. Dit gebeurt zodra zij een inlogpoging doen.
Europa
In hoeverre Europa op het lek gaat reageren is nog niet duidelijk. Wel is het zo dat Facebook met ingang van de AVG-wetgeving aan strengere privacyregels moet voldoen.
Dat resulteerde een ruim jaar geleden al in de aankondiging dat het bedrijf het privacybeleid voor Europese gebruikers zou gaan aanpassen.
