Ierse toezichthouder start onderzoek naar datalek Facebook

 

Gegevens half miljard Facebook-gebruikers op straat

Begin deze maand belandden de persoonsgegevens van 533 miljoen Facebook-gebruikers uit 106 landen op een hackersforum. Het gaat om voor- en achternamen, woonplaatsen, geboortedata, geslacht, telefoonnummers, e-mailadressen, relatiestatus, teksten die in de biografie van gebruikers staan, Facebook ID’s en data dat accounts zijn aangemaakt. Onder de slachtoffers bevonden zich 5,4 miljoen Nederlanders en 3,2 miljoen Belgen. De dataset wordt gratis aangeboden op het dark web. Aanvankelijk reageerde Facebook laconiek door te stellen dat de bemachtigde gegevens jaren geleden al waren buitgemaakt en dat de systemen sindsdien zijn hersteld. Met deze uitleg nemen gebruikers en beveiligingsexperts geen genoegen mee. In een uitgebreidere verklaring zei Facebook dat de data niet was gestolen door een hackaanval. In plaats daarvan waren de gegevens gescrapet. Hackers gebruiken scraping om informatie uit openbare bronnen te verzamelen en bundelen tot één grote dataset. Een woordvoerder van Facebook zei vorige week tegen persbureau Reuters dat het bedrijf slachtoffers niet actief gaat informeren over het datalek. De reden is dat Facebook geen goed beeld heeft wie ze moet precies informeren. Daarnaast kunnen gebruikers het probleem niet zelf oplossen en waren de gegevens al openbaar voordat Facebook überhaupt de kans kreeg om gedupeerden in te lichten.

DPC stelt onderzoek in

Afgelopen week vroeg de DPC om opheldering bij Facebook. De toezichthouder vermoedde dat de dataset die op het hackersforum opdook, data bevatte die na de inwerkingtreding van de AVG in mei 2018 is buitgemaakt. Als dat het geval is, had Facebook aan de bel moeten trekken. Dat heeft het techbedrijf echter nooit gedaan. Inmiddels heeft de Ierse privacywaakhond een reactie ontvangen van Facebook. Via een persbericht laat ze weten een onderzoek in te stellen naar de kwestie. “Na bestudering van de informatie die Facebook Ierland tot op heden over deze kwestie heeft verstrekt, is de DPC van mening dat een of meer bepalingen van de AVG en/of de Data Protection Act 2018 mogelijk zijn geschonden en/of worden geschonden met betrekking tot de persoonsgegevens van de Facebook-gebruikers. Zodoende vindt de Commissie het passend om te onderzoeken of Facebook Ierland aan zijn verplichtingen als verantwoordelijke voor de verwerking van persoonsgegevens van zijn gebruikers heeft voldaan”, aldus de DPC.

Facebook: ‘Wij werken mee aan het onderzoek’

In een reactie tegenover TechCrunch laat Facebook weten volledig te zullen meewerken met het onderzoek van de DPC. “Wij verlenen onze volledige medewerking aan het onderzoek van de DPC, dat betrekking heeft op functies die het voor mensen gemakkelijker maken om vrienden te vinden en met hen in contact te komen via onze diensten. Deze functies zijn gebruikelijk in veel apps en we kijken ernaar uit om ze uit te leggen en de bescherming die we hebben ingebouwd uit te leggen”, zo vertelt een woordvoerder van Facebook. Dat de DPC nu actie onderneemt, komt doordat Eurocommissaris voor Justitie Didier Reynders met het hoofd van de Ierse toezichthouder heeft gesproken over het datalek. Via Twitter laat Reynders weten dat de Europese Commissie de zaak nauwlettend volgt en nationale toezichthouders ondersteunt in hun werk. Ook deed hij een moreel beroep op Facebook om actief mee te werken aan het onderzoek en duidelijkheid te geven over de zaak.

Pas op voor oplichting

Beveiligingsexperts waarschuwen mensen om de komende tijd extra alert te zijn voor oplichting en fraude. Cybercriminelen kunnen de gestolen persoonsgegevens gebruiken voor allerlei kwaadaardige doeleinden, zoals identiteitsdiefstal, Business Email Compromise (BEC) of CEO-fraude, vriend-in-noodfraude, spearphishing en versturen van spamberichten. Geef nooit zomaar persoonlijke of inloggegevens aan instanties die je via de e-mail of telefonisch benaderen. Als je de boel niet vertrouwt, ga er dan niet op in.