New York
CNN-bedrijf
—
Een enorme Facebook-inbreuk kan ook gebruikers van honderden andere websites en apps hebben getroffen. Maar drie dagen na de openbare bekendmaking van de inbreuk is het niet duidelijk of die bedrijven weten wat er, als er al iets is gebeurd, met hun gebruikers is gebeurd.
Een woordvoerder van de datingapp Tinder zei maandag dat Facebook slechts “beperkte informatie” heeft gedeeld en riep Facebook op om “transparant” te zijn over welke Tinder-gebruikers mogelijk zijn getroffen.
In een verklaring van maandag, Facebook zei dat het meer richtlijnen voor app-ontwikkelaars voorbereidde.
Een breed scala aan digitale diensten, waaronder grote namen als Tinder, Spotify en Airbnb, bieden gebruikers de mogelijkheid om in te loggen op accounts op hun platformen met behulp van hun Facebook-gegevens. Dit proces staat bekend als Single Sign-On of SSO.
Volgens Facebook zijn door de inbreuk 50 miljoen gebruikers getroffen. Hackers konden als deze personen inloggen op Facebook en op apps en websites die SSO via Facebook toestaan.
CNN nam contact op met bijna een dozijn bedrijven die de Facebook-inlogmogelijkheid aanbieden. Geen van hen wilde zeggen of ze enige overlapping hadden geïdentificeerd tussen hun gebruikers die inloggen via Facebook en de 50 miljoen Facebook-gebruikers waarvan de gegevens waren blootgesteld.
Door deze overlapping te identificeren, kunnen de bedrijven onderzoeken of de gegevens van getroffen Facebook-gebruikers ook op hun platforms zijn gecompromitteerd.
Volgens Jason Polakis, universitair docent computerwetenschappen aan de Universiteit van Illinois in Chicago, is single sign-on een nuttige functie, maar ook een zeer riskante.
“Het belang hiervan is dat, aangezien Facebook de populairste identiteitsprovider is geworden, het niet eenvoudig is om te evalueren hoeveel van uw accounts hackers mogelijk hebben geopend”, aldus Polakis, die de functie uitgebreid heeft bestudeerd.
In een verklaring aan CNN op maandag zei Tinder dat het “een volledig forensisch onderzoek” heeft uitgevoerd sinds de “beperkte” openbaarmaking door Facebook en dat het “geen bewijs heeft gevonden dat erop wijst dat er toegang is verkregen tot accounts”.
Tinder vervolgde: “We zullen doorgaan met het onderzoeken en waakzaam blijven – zoals we altijd zijn – en als Facebook transparant zou zijn en de lijsten met getroffen gebruikers zou delen, zou dat erg nuttig zijn in ons onderzoek.”
Een woordvoerder van Tinder gaf aan dat de meeste nieuwe gebruikers zich bij de dienst aanmelden zonder in te loggen via Facebook.
Pinterest, een ander bedrijf dat gebruikers de mogelijkheid biedt om in te loggen via Facebook, vertelde CNN dat het samenwerkt met Facebook om te bepalen of er Pinterest-gebruikers zijn getroffen.
Facebook zei maandag in een verklaring dat ontwikkelaars van apps die gebruikmaken van Facebook-login “de gedwongen uitlogacties die we vrijdag hebben uitgevoerd, kunnen detecteren en mensen die hun apps gebruiken, kunnen beschermen.”
“We bereiden aanvullende aanbevelingen voor alle ontwikkelaars voor die op dit incident hebben gereageerd en om mensen in de toekomst te beschermen”, voegde een woordvoerder van Facebook toe.
Airbnb en GoFundMe, twee grote diensten waarmee gebruikers via Facebook kunnen inloggen, reageerden niet op verzoeken van CNN om commentaar.
Spotify vertelde CNN dat het de veiligheid van de privacy van zijn gebruikers zeer serieus neemt.
Het bedrijf voegde toe dat “bezorgde gebruikers als voorzorgsmaatregel hun Spotify-wachtwoord kunnen bijwerken, of, als het account via Facebook is aangemaakt, de Facebook-login via hun instructies.”
Deze voorzorgsmaatregel volgt nadat Facebook gebruikers had laten weten dat ze hun wachtwoord niet hoefden te wijzigen, omdat de hackers geen toegang hadden tot de wachtwoorden.
Geen enkel bedrijf waar CNN contact mee opnam, gaf aan welke praktische stappen zij namen om ervoor te zorgen dat hun gebruikers niet getroffen werden door de aanval op Facebook.
Headspace, een meditatie- en wellness-app, vertelde CNN: “We hebben de kwestie onderzocht en geen afwijkingen gevonden, hoewel we voorzorgsmaatregelen hebben genomen om onze leden te beschermen en we blijven toezicht houden.”
Het bedrijf gaf geen details over de inhoud van het onderzoek en de voorzorgsmaatregelen die het heeft genomen.
Andere apps bieden hun gebruikers de mogelijkheid om via Facebook in te loggen, maar hebben daarnaast nog extra veiligheidsmaatregelen.
Een woordvoerder van Ancestry vertelde CNN: “Hoewel Ancestry Facebook-login voor sommige functies ondersteunt, hebben we altijd een extra Ancestry-gebruikersnaam en -wachtwoord nodig om toegang te krijgen tot gevoelige accountfuncties, zoals het downloaden van uw DNA-gegevens, het wijzigen van uw wachtwoord, het wijzigen van uw e-mailadres of het openen van betalingsgegevens. De blootstelling van onze klanten wordt geminimaliseerd door deze extra controles.”
TransferWise, een geldtransferdienst waarmee gebruikers via Facebook kunnen inloggen, zei dat het onderzoek gaande was, maar dat het “geen aanwijzingen” had dat zijn klanten getroffen waren.
Het bedrijf zei dat gebruikers, voordat er geld kan worden overgemaakt, hun identiteit moeten verifiëren via een tweede stap waarbij Facebook niet betrokken is.
