Dit betekent een datalek voor jouw persoonsgegevens
09-04-2021
•
leestijd 5 minuten
•
8422 keer bekeken
•
Of je persoonsgegevens nou in handen zijn van Facebook of de GGD, er is altijd een kans dat ze in verkeerde handen terechtkomen. Hoe zorgwekkend is dat? In dit artikel vertellen we je alles over datalekken en leggen we uit hoe je zelf de schade kunt beperken.
Een datalek vindt plaats als persoonsgegevens die je aan een bepaalde organisatie toevertrouwt, zoals telefoonnummers, emailadressen of zelfs wachtwoorden, ineens voor derden beschikbaar zijn. Datalekken komen vaak voor, ook in het klein. Bijvoorbeeld als er een mailtje met gevoelige informatie naar de verkeerde persoon wordt gestuurd.
Het gaat om informatie die al openbaar is, zoals je telefoonnummer, mailadres, beroep en relatiestatus. De mensen die hun telefoonnummer hebben afgeschermd, zijn waarschijnlijk geen slachtoffer van het lek.
Verzamelde gegevens
Om te begrijpen wat er precies op straat ligt, is het goed om te weten dat Facebook veel informatie van haar 2,3 miljard gebruikers verzamelt. Het bedrijf heeft bijvoorbeeld je contactgegevens, zoals je mailadres en telefoonnummer. Logisch, want die heb je bij het aanmaken van je account zelf ingevuld.
Maar ook je locatiegegevens, financiën en activiteiten op het internet heeft het bedrijf in de smiezen. Zelfs de tijd die je besteedt aan het bekijken van een advertentie wordt bijgehouden. Voor Facebook is dat handig, want hoe beter het bedrijf haar gebruikers kent, hoe gerichter de advertenties op de site kunnen zijn. Niet alle informatie die Facebook verzamelt, is gelekt. Toch kunnen kwaadwillenden nu makkelijker achter je telefoonnummer en e-mailadres komen.
Namen en nummers in een database
Net als het e-mailadres is het telefoonnummer van veel mensen openbare informatie op Facebook. Gebruikers die hun nummer invoeren bij hun gegevens, kunnen aangeven of ze dit af willen schermen, maar lang niet iedereen doet dat.
In het geval van deze journalist ging het om éen persoon, maar kwaadwillenden konden met deze truc op grote schaal de nummers van mensen achterhalen. Ze maakten een programma dat elk nummer ter wereld uitprobeerde. De namen die in het resultaat verschenen werden, samen met andere persoonlijke informatie, opgeslagen in een database. Die werd eerst nog te koop aangeboden, maar is nu gratis in te zien.
In een paar tellen inzicht
Als je handig bent met computers, kun je in een handomdraai aan de gegevens komen. Ook tech-expert Danny Mekić lukte het, tot zijn eigen verbazing, gemakkelijk: “Ik had er maar een paar tellen voor nodig. Deze gegevens liggen echt voor het oprapen.” Tot zijn eigen opluchting vond hij zijn naam niet terug. “Gelukkig heb ik ingesteld dat mijn telefoonnummer niet voor iedereen zichtbaar mag zijn. Blijkbaar heeft dat geholpen.”
Zo’n database maakt het werk van oplichters die phisingmails of -sms'jes willen sturen makkelijker. “Hoe meer details iemand van je weet, hoe betrouwbaarder het bericht lijkt”, zegt Mekić. “Als je een sms’je krijgt van iemand die zich voor kan doen als je werkgever, en hij weet bijvoorbeeld hoe je heet, dan is de kans groter dat je erin trapt.”
De beste experts
Volgens Mekić betekent het lek niet dat Facebook niet goed beveiligd is. “Dit lek heeft niks met de beveiliging van Facebook te maken. Dat profielen opgezocht konden worden via telefoonnummers, was een functionaliteit van de site en een instelling die door gebruikers te wijzigen was. Wel had Facebook dit kunnen voorkomen, simpelweg door die functionaliteit nooit aan te bieden.”
Iets voor honderd procent beveiligen is praktisch onmogelijk, maar volgens Mekic komen bedrijven als Google en Facebook wel in de buurt. "Die hebben op dit gebied de beste experts in dienst en doen echt hun best om informatie te beveiligen. Ik moet zeggen: dat gaat opvallend goed. Een groot beveiligingslek is er nooit geweest. Terwijl er toch echt wel datarampen denkbaar zijn.”
Chatberichten
Mekić noemt als voorbeeld de berichtenfunctie Facebook Messenger. “In tegenstelling tot WhatsApp zijn berichten daarop niet versleuteld. Als het je lukt om de servers binnen te dringen, krijg je toegang tot privégesprekken van miljoenen mensen. Dat is alleen nog nooit iemand gelukt. Daar verdienen bedrijven als Facebook wel een compliment voor.”
Hij moet er niet aan denken dat er ooit zo’n groot lek komt. "Moet je je voorstellen wat er zou gebeuren als het hackers die miljarden berichten in handen krijgen. Hoeveel relaties zouden dan stuklopen, hoeveel mensen zullen dan ontslagen worden? Of wat als een hacker ooit toegang zou krijgen tot alle e-mails ooit ontvangen en verzonden via Gmail? "
Datahygiëne
“Dit lek is dus wel een goede waarschuwing om nog eens goed naar je privacy-instellingen te kijken. Als jij niet wil dat Facebook je nummer heeft, kun je ze gewoon verzoeken om het weg te halen. Bovendien worden de opties voor privacy-instellingen vaak uitgebreid, dus het is goed om ze eens in de zoveel tijd na te lopen.”
Dat soort ‘datahygiëne’ is volgens Mekić heel erg belangrijk. “Gebruik je een account niet meer, sluit het dan. Laat het niet doorslapen. Als je je account sluit, is het platform verplicht je gegevens te verwijderen.”
Tips & Tricks
Mekić heeft nog een paar tips zodat je jezelf kunt beschermen tegen een datalek.
Neem een e-simkaart. Daarmee beschik je over een tweede telefoonnummer dat je vervolgens kunt gebruiken als je je ergens wil aanmelden. Zo is de kans kleiner dat je echte nummer in de openbaarheid terecht komt.
Maak gebruik van een uniek mailadres per website. Voor gebruikers van Gmail kan dat gemakkelijk. Stel: je mailadres is kassa@gmail.com, dan kun je voor Facebook het adres kassa+facebook@gmail.com gebruiken. Mailtjes naar dat adres komen ook in jouw mailbox terecht, maar je kunt daaraan zien hoe de afzender aan je gegevens komt.”
Maak voor elke site een uniek wachtwoord aan. Zo hoef je je geen zorgen te maken over andere accounts als je wachtwoord ooit in een datalek te vinden is. Bang om je wachtwoord te vergeten? In de appstores zijn verschillende wachtwoordmanagers die je kunt gebruiken.
Zien of je gegevens in een lek zitten?
Facebook heeft al aangegeven dat het getroffen gebruikers niet wil benaderen. Gelukkig zijn er door ethisch hackers een aantal tools opgebouwd. Een daarvan is het gerenommeerde haveibeenpwned.com. Hiervoor moet je alleen wel je nummer invoeren. Gelukkig is er voor Nederlanders een alternatief.
Bronnen: Inti de Ceukelaire, Daniël Verlaan, Tweakers.nl, RTL Nieuws, Autoriteit Persoonsgegevens, Datanews