Telefoonnummers op straat door lek in Facebook

Er zat een veiligheidslek in Facebook waardoor het verzamelen van grote aantallen telefoonnummers van Facebook-gebruikers mogelijk was. Het lek is inmiddels gedicht door het sociale netwerk.

Facebook heeft een patch uitgebracht voor een langdurig veiligheidsprobleem. Tot voor kort bleek het mogelijk om met behulp van een simpel scriptje eindeloos telefoonnummers te verzamelen en deze vervolgens te koppelen aan profielgegevens. Deze informatie kan verkocht worden aan adverteerders of gebruikt worden door telefoonphishers.

Veel Facebook-gebruikers hebben een telefoonnummer gekoppeld aan hun profiel. Dat is bijvoorbeeld nodig wanneer je gebruik maakt van diensten zoals de veiligheidsoptie van tweetraps authenticatie via sms.

Bij Facebook staat default ingesteld dat je ingevoerde telefoonnummer door iedereen kan worden opgezocht. Veel gebruikers hebben daar geen weet van en passen dit nooit aan.

Ontdekker krijgt geen reactie
Het gat werd in augustus aan het licht gebracht door veiligheidsonderzoeker Suriya Prakash. De IndiŽr benaderde Facebook, maar kreeg in eerste instantie geen gehoor. Afgelopen vrijdag zette Prakash zijn bevindingen uitgebreid op zijn weblog.

Tyler Borland, veiligheidsonderzoeker van Alert Logic, deed daar vervolgens een schepje bovenop door het opvraagproces via zijn script 'Facebook Phone Crawler' te vertienvoudigen. Ook dat bleek gewoon te werken. Dat bleek net het zetje waardoor Facebook in actie kwam.

Facebook plaatst limiet
Het sociale netwerk bevestigt inmiddels dat het een limiet heeft geplaatst op het opvragen van telefoonnummers. "We hebben een omvangrijk programma voor het voorkomen van kwaadaardig gebruik van onze zoekfunctionaliteit. Het scenario van de researcher (Prakash, red.) is inderdaad gelimiteerd en uiteindelijk geblokkeerd", schrijft Facebook in een e-mail aan onze zustersite Computerworld.

Suraya en Borland houden echter hun twijfels. Volgens de onderzoekers is Facebook verdacht laat in actie gekomen en heeft het sociale netwerk de limiet niet direct verlaagd. Pas toen de media lucht kreeg van de zaak was er in no-time een patch, voor een gat dat al maanden openstond.

'Beveiligingsteam deed niets'
Bovendien was het nooit de bedoeling om deze zaak publiekelijk bekend te maken. Suraya: "Maar ze hebben me geen keuze gelaten. Waarom heb je een beveiligingsteam in dienst als zij niet reageren op deze serieuze veiligheidsproblemen? Bovendien heb ik eerlijk gezegd geen idee waarom het nodig zou zijn dat een Facebook ID gekoppeld moet zijn aan een op te zoeken telefoonnummer."