De louche onderbuik van Facebook is opnieuw boven water gekomen dankzij Bogomil Shopov, een online IT-marketing- en community managementprofessional uit Bulgarije, die onlangs een miljoen namen, e-mailadressen en Facebook kon kopen profiel-ID's.
Terwijl hij op internet surfte naar gratis marketingtools en handleidingen voor zijn bedrijf, of ‘zero budget marketing’, zoals hij me vertelde, werd Shopov naar Gigbucks. Gigbucks is een ‘e-commerce’-platform vergelijkbaar met Fiverr, waar kopers diensten of producten kunnen kopen voor slechts $ 5 of maar liefst $ 50. Maar waar hij op stuitte was een aanbod voor een miljoen Facebook-accounts en hun e-mailadressen, afkomstig uit een Facebook-app. Uit nieuwsgierigheid kocht Shopov de Excel-lijst voor $ 5 en ontving kort daarna de lijst zoals beloofd. Hij herkende dat de header Turks was, wat aangeeft dat de ontwikkelaars verantwoordelijk zijn voor het verwerven van de gebruiker informatie kwam uit Turkije, maar de accounts waren voornamelijk van gebruikers in de Verenigde Staten, Canada en het VK.
Aanbevolen video's
Na het publiceren van zijn blogpost Bij het beschrijven van de transactie nam Facebook telefonisch contact op met Shopov om erachter te komen hoe hij al deze gegevens precies in handen had gekregen. En toen we vandaag de URL opnieuw controleerden, merkten we dat het aanbod van Gigbucks was verwijderd. Shopov vertelde ons dat de beheerders van Gigbucks hem gisteravond op de hoogte brachten dat het aanbod was verwijderd, waarschijnlijk op verzoek (lees: eis) van Facebook.
Nu Facebook meer naadloze interacties heeft geïntroduceerd in Facebook Connect en zijn Open Graph-apps, is het moeilijker geworden om te weten wat je opgeeft en waartoe je toegang geeft; het valt allemaal veel minder op dan vroeger. Gebruikers realiseren zich misschien niet dat het voor ontwikkelaars vrij eenvoudig is om uw informatie te ontginnen; te veel van ons gaan ervan uit dat externe Facebook-app-ontwikkelaars uw informatie niet op deze manier zullen gebruiken. “De gegevens die we vrijwillig aan sociale netwerken verstrekken, zelfs als we toezicht houden op onze privacy-instellingen, worden steeds kwetsbaarder”, zegt Robert Leshner, oprichter van Safeshephard. “Het is niet Facebook of zelfs LinkedIn waar we ons zorgen over hoeven te maken”, voegt Leshner toe. “Het is de zwakste schakel in de privacyketen, en op dit moment zijn dat apps van derden. De ommuurde tuin van Facebook is niet zo goed ommuurd – hij is aan het afbrokkelen.”
De manier waarop externe ontwikkelaars dit doen, is door apps te maken (die al dan niet waarde bieden) met als enig doel het verzamelen van gebruikersgegevens, een praktijk die we hebben waar eerder over gesproken werd. Wanneer u voor het eerst een Facebook-app gebruikt, verschijnt er een pagina met een beschrijving van de informatie waartoe u de ontwikkelaar toegang geeft. Uw e-mailadres, naam, gebruikers-ID, geslacht en andere basisinformatie zijn eerlijk spel - en als het in verkeerde handen terechtkomt, kan het in een overzichtelijke lijst worden samengevoegd en worden verkocht.
Er is een vrij grote stimulans onder blackhat-marketeers om te betalen voor deze waardevolle lijst met echte e-mail adressen en Facebook-accounts (Facebook heeft tenslotte naam gemaakt als eigenaar van real identiteiten). Deze adressen kunnen worden gebruikt om het aantal volgers op Facebook-pagina's te vergroten (via uitnodigingen), of Facebook-gebruikers kunnen op e-maillijsten worden geplaatst. Het kan ook worden gebruikt om deze specifieke gebruikers te targeten op basis van e-mailadressen, telefoonnummers en gebruikers-ID. Houd er rekening mee dat u het Facebook-account dat aan een e-mailadres is gekoppeld eenvoudig kunt vinden door de e-mail in de zoekbalk van Facebook te typen, vergelijkbaar met hoe een onderzoeker eerder het e-mailadres ontdekte Facebook-profielen die aan de telefoonnummers zijn gekoppeld.
Een eenvoudige zoekopdracht op internet onthult een uitgebreide en bloeiende ondergrondse markt voor Facebook-ID's die aan e-mailadressen zijn gekoppeld. Het doet denken aan de markt voor gehackte Twitter-accounts wij rapporteerden eerder deze maand. We konden zelfs een paar van deze lijsten kopen voor slechts $ 5 per stuk. Net als Shopov kregen we een .rar-bestand met verschillende .txt-bestanden met daarin meer dan 1,5 miljoen e-mailadressen, namen en Facebook-profiel-ID's. En ja, het was echt zo gemakkelijk.
Wat een van de verkopers ons onthulde hoe gangbaar en gebruikelijk de praktijk van het kopen en verkopen van deze gegevens is: hij kocht een lijst van 32 miljoen e-mailadressen en Facebook-accounts van zijn vrienden en herverpakte de lijst in sets van tussen de één en twee miljoen e-mailadressen doorverkopen. Er lijkt ook sprake te zijn van hergebruik en recycling, omdat we ons realiseerden dat we dubbele lijsten van twee verschillende verkopers hadden gekocht.
Nu we steeds meer afhankelijk zijn van het gebruik van Facebook of andere sociale netwerken om toegang te krijgen tot applicaties van derden, kunnen onze gegevens gemakkelijk worden misbruikt en geprofiteerd door derden. Voordat u een app de volgende keer toegang tot uw informatie geeft, wilt u misschien beter opletten.
We hebben contact opgenomen met Facebook en zullen u op de hoogte houden van hun reactie.
Aanbevelingen van de redactie
- Facebook zegt dat het onbedoeld e-mailcontacten van 1,5 miljoen gebruikers heeft geüpload
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
