Privacy-aanval via 'onzichtbaar' Facebook-account

Privacy-aanval via 'onzichtbaar' Facebook-account

20-03-2012 12:34 Laatste update: 28-04-2018 18:42

Stalkers kunnen hun voordeel doen met een Star Trek-achtige aanval om privé-informatie van Facebook-gebruikers te scoren.

Een 'zero day privacy loophole', uitgevoerd door een onzichtbare spion. Een 'deactivated friend attack', vergelijkbaar met het concept 'cloaking' uit Star Trek. Shah Mahmood en Yvo Desmedt, die maandag tijdens een Zwitserse conferentie vertelden over een nieuw privacy-probleem in Facebook hadden in ieder geval geen gebrek aan indrukwekkende metaforen om het door hen ontdekte privacylek uit de doeken te doen.

In de praktijk is de aanval (pdf) aanmerkelijk minder spectaculair dan alle Star Trek-verwijzingen doen vermoeden. Het idee is dat je informatie van Facebook-gebruikers kunt bemachtigen door vrienden met hen te worden. Om te voorkomen dat je later weer wordt 'ontvriend', deactiveer je je vervolgens je account. Op het moment dat je account is gedeactiveerd, word je onzichtbaar voor je vrienden en kun je dus ook niet ontvriend worden.

Je activeert je account pas weer als je informatie van je Facebook-'vrienden' bij elkaar wilt schrapen. Op dat moment ben je weer zichtbaar. Daarom is het zaak om je account weer te activeren op een moment dat maar weinig van je 'vrienden' op Facebook zitten – midden in de nacht op een doordeweekse dag bijvoorbeeld.

Hoe erg is het dat een nepvriend alles wat je post op Facebook kan zien? Volgens onderzoekers Mahmood en Desmedt is er genoeg reden tot zorg. "Marketeers, bureaus die background-checks uitvoeren, overheden, hackers, spammers, stalkers en criminelen zijn vast geïnteresseerd in een permanent achterdeurtje om privé-informatie van een Facebook-gebruiker te bemachtigen."

Maar wie is er dan ook zo stom om zomaar vrienden te worden met iemand die je niet kent? Volgens Mahmood en Desmedt 62 procent van de Facebook-gebruikers aan wie ze een 'friend request' verstuurden. Gedurende de 261 dagen durende 'cloaking-test' besloot geen één van die Facebook-vrienden om hen vervolgens te ontvrienden.

De oplossing is volgens de twee onderzoekers dat Facebook zijn gebruikers gaat informeren welke vrienden hun account deactiveren en weer activeren. Gewoon een beetje opletten wie je toevoegt als vriend is natuurlijk ook een mogelijkheid.