Veiligheidsprobleem
Waarom je sommige links beter niet deelt op Facebook
Privégesprekken op Facebook zijn helemaal niet zo geheim als ze doen uitschijnen. De Belgische ethische hacker Inti De Ceukelaire is erin geslaagd om vertrouwelijke links te onderscheppen in Messenger-gesprekken. Dat blijkt niet eens zo moeilijk. "Mensen moéten dit weten."
Elke keer als we op Facebook een link delen - of dat nu is via Messenger, op een profielpagina of in een reactie - wordt die door de sociaalnetwerksite geanalyseerd. Alle links worden opgeslagen in een grote database waar niet alleen Facebook, maar ook ontwikkelaars aan kunnen geraken.
"Dat is op zich geen probleem", zegt Inti De Ceukelaire, een ethische hacker die Facebook in het verleden al hielp met het dichten van lekken en fouten. "Maar als jij en ik via Messenger een vertrouwelijke link met elkaar delen, zou die informatie voor anderen geheim moeten blijven. Dat is niet het geval."
Elke gedeelde link krijgt een uniek nummer waarmee Facebook het kan identificeren. Volgens de 21-jarige ethische hacker, die nu afstudeert en veiligheidslekken opspeurt in bijberoep, is het gemakkelijk om die unieke identificatienummers van die links met giswerk te achterhalen en op te slaan in een overzicht. Het is kinderspel om ze te linken aan een Facebook-profiel.
Toegegeven, véél van de links die mensen naar elkaar sturen op Facebook zijn onzin en niet vertrouwelijk: nieuwsartikels, video's, naamtesten, publieke documenten... Het wordt gevaarlijker als je bijvoorbeeld een geheime unieke link deelt van een verborgen document met wachtwoorden of werkschema's op Google Drive of een verborgen fotoalbum met beelden van je zoon of dochter. "Als je honderd links onderschept, mag je ervan uitgaan dat drie van die links vertrouwelijk zijn."
"Mensen moeten dit weten. Als je iets deelt, bestaat de kans dat er iemand meekijkt en dat kan niet. Dit is een schending van de privacy", oordeelt De Ceukelaire. Al is het niet zo dat alle persoonlijke links in privégesprekken opeens op straat liggen. Er is wat technische kennis voor nodig om de links te onderscheppen en het ligt niet voor de hand, maar het blijkt wel mogelijk.
"Je kan niet zomaar in één keer een overzicht opvragen van alle links die een bepaalde persoon ooit heeft gedeeld", erkent de hacker. "Maar het is wel mogelijk om een systeem te bouwen dat gestaag al die nieuwe en oude verstuurde links verzamelt en aan bepaalde personen linkt." Dat proces kan bovendien uiterst gemakkelijk geautomatiseerd worden. Na het schrijven van wat code, had De Ceukelaire in amper tien minuten al zeventig links onderschept. "Voor een geheime veiligheidsdienst als de NSA is het zeer interessant om die moeite te doen." De hacker zegt geen weet te hebben dat zoiets vandaag ook gebeurt.
'Het is de bedoeling'
Eind mei waarschuwde De Ceukelaire Facebook al in het geheim voor het mogelijke veiligheidslek, maar de sociale netwerksite liet weten het probleem niet te zullen verhelpen omdat het systeem "werkt zoals het is bedoeld". Daarop besloot de onderzoeker zijn bevindingen openbaar te maken.
Facebook reageerde vooralsnog niet op onze vraag voor meer informatie. De sociaalnetwerksite blokkeert wel automatisch de toegang wanneer een ontwikkelaar een te groot aantal gegevens na elkaar opvraagt, onder meer om te voorkomen dat grote databanken met Facebook-informatie kunnen worden aangelegd. "Maar die beperking is gemakkelijk te omzeilen door verschillende accounts te gebruiken", vermoedt De Ceukelaire.
De hacker zoekt regelmatig naar bugs, fouten in websites en apps, want met die 'bug bounties' is flink geld te verdienen. "Ik heb een keer tienduizend dollar voor het melden van zo'n veiligheidslek gekregen. Er zijn uitzonderingen, maar Facebook is eigenlijk niet zo'n goede betaler. Zij betalen minimum 500 dollar. Het meeste dat ze ooit betaalden was 33.500 dollar voor een immens veiligheidslek. Maar het geld is zeker niet de drijfveer. Ik wil gewoon dat het in orde is."
