De beveiligingsinbreuk die op 28 september door Facebook werd onthuld, trof tientallen miljoenen accounts op het sociale netwerk, met meer dan 2,2 miljard maandelijkse gebruikers.

Op woensdag, de Ierse gegevensautoriteit zei dat het een formeel onderzoek opende naar de vraag of 's werelds grootste sociale netwerk voldeed aan de strenge nieuwe EU-privacyregels.

- Wat is er gebeurd?

Hackers maakten gebruik van een "complexe interactie" tussen drie softwarefouten, die een zekere mate van verfijning vereiste.

Het beveiligingslek is ontstaan ​​door een wijziging in een functie voor het uploaden van video's in juli 2017.

Het betrof een fout in een "See As"-functie die Facebook liet zien hoe hun profielen eruitzien voor andere mensen op het sociale netwerk.

Met behulp van de functie gegenereerde digitale sleutels, genaamd "toegangstokens, " waarmee gebruikers verbonden kunnen blijven met hun accounts zonder dat ze opnieuw wachtwoorden hoeven in te voeren.

Hackers konden kopieën van de digitale sleutels stelen, waardoor ze dezelfde toegang en controle over accounts krijgen als hun legitieme eigenaren.

Op 16 sept. Facebook merkte een piek in activiteit op die het ertoe aanzette om het te onderzoeken.

Op 25 sept. De technici van Facebook hebben vastgesteld dat hackers een geavanceerde aanval hebben uitgevoerd om misbruik te maken van de kwetsbaarheid. Twee dagen later was er een oplossing en werden gestolen tokens onbruikbaar.

Facebook heeft niet bekendgemaakt wanneer hackers voor het eerst misbruik maakten van de fout, zeggen dat het onderzoek vroeg was.

- Welke gegevens zijn gelekt?

Informatiehackers leken geïnteresseerd in opgenomen namen, geslachten, en geboortesteden, maar het was niet duidelijk voor welke doeleinden, zeiden de leidinggevenden in een telefonische briefing.

Facebook zei dat het nog steeds probeerde uit te zoeken wat, als iets, hackers deden in geschonden accounts. Het leek er aanvankelijk niet op dat er met berichten of berichten was geknoeid, en er was geen toegang tot bank- of wachtwoordinformatie, volgens het sociale netwerk.

Aangezien digitale sleutels Facebook deuren wijd openden voor hackers, ze zouden de mogelijkheid hebben gehad om applicaties van derden te bereiken die zijn gekoppeld aan sociale netwerkaccounts.

Ze hadden toegang kunnen krijgen tot gekoppelde accounts, waaronder Messenger of Instagram, beide eigendom van Facebook, maar niet in de WhatsApp-service van het sociale netwerk.

Een analyse van logbestanden van applicaties van derden leverde geen teken op waarmee de hackers zich hadden bemoeid. Facebook zei op 2 oktober.

- Wie moet zich zorgen maken?

Facebook zei dat "tot 50 miljoen accounts" rechtstreeks werden getroffen, wat betekent dat hackers digitale sleutels hebben gestolen.

Volgens de gegevensbeschermingscommissie in Ierland, onder de getroffenen waren vijf miljoen of minder Europese gebruikers.

Nog eens 40 miljoen accounts die de functie "Bekijken als" gebruikten, hadden tokens opnieuw ingesteld, hoewel het niet leek alsof ze het doelwit waren van hackers.

- Maatregelen genomen door Facebook?

Facebook zei dat het de inbreuk op 27 september in Californië had verzegeld, waar het zijn hoofdkwartier heeft, en waarschuwde Amerikaanse wetshandhavingsinstanties en regelgevers in Ierland.

Facebook maakte "toegangstokens" ongeldig bij de inbreuk, waarbij mensen opnieuw moeten inloggen met wachtwoorden. Het sociale netwerk informeerde de betrokkenen door berichten op nieuwsfeeds te plaatsen.

- Wat is het risico voor Facebook?

De risico's voor Facebook zijn afhankelijk van de naleving van verschillende wet- en regelgeving, waaronder de nieuwe Algemene Verordening Gegevensbescherming in Europa.

Vragen die waarschijnlijk zullen worden gesteld, zijn onder meer of Facebook snel genoeg gebruikers op de hoogte bracht van de inbreuk en hoe goed het accounts beschermde.

Bescherming van de gegevens van personen valt onder de bevoegdheid van de Federal Trade Commission in de Verenigde Staten, maar staten zouden ook geïnteresseerd kunnen zijn om ervoor te zorgen dat lokale privacy- of gegevensbeschermingswetten niet worden geschonden.

In Europa, de Facebook-inbreuk en hoe deze werd afgehandeld, zou worden onderzocht door de lens van de AVG, die de bescherming van persoonsgegevens heeft versterkt.

Bedrijven kunnen nu een boete krijgen van een percentage van de jaaromzet als ze de AVG-regels overtreden. Facebook leek zich te hebben gehouden aan een deadline van 72 uur met betrekking tot het openbaar maken van een hack, die hem een ​​boete van meer dan een miljard dollar zou kunnen besparen.

© 2018 AFP