Belgische hacker ontdekt Facebooklek
Wie zichzelf onvindbaar maakt op Facebook, is toch te vinden. Dat ontdekte de hacker die eerder al de Digicorder van Telenet kraakte.
Facebookgebruikers zijn standaard op te zoeken op de sociale netwerksite. Daarbij zijn bepaalde gegevens zoals je profielfoto, naam en geslacht openbaar. Wie wil kan er voor zorgen dat hij of zij helemaal onvindbaar wordt in de zoekresultaten, of dat er geen gegevens worden getoond.
Maar dat systeem is niet waterdicht. Wie een informatie-aanvraag doet via een van de API’s krijgt die basisinfo gewoon terug. Dat vertelt **** ******** (naam bekend bij de redactie, nvdr.), de man die vorige maand al de Digicorder van Telenet kon hacken, aan onze redactie.
[related_article id=”158578″]
“Het komt er op neer dat de permissies niet consequent worden afgehandeld”, zegt ********. De functie kan worden misbruikt bij mensen die zichzelf onzichtbaar hebben gemaakt, maar even goed bij mensen die andere gebruikers geblokkeerd hebben.
“Doe je het gewoon via de website, dan krijg je de melding dat er niets is gevonden of dat je geen toestemming hebt. Ga je zoeken via Google of zonder je aan te melden in een andere browser dan krijg je die melding ook. Maar als een API-request doet met de gebruikersnaam of URL van het profiel dan krijg je die gegevens wel."
******** heeft de fout al doorgegeven aan Facebook maar kreeg er vooralsnog geen reactie op.
Een API staat voor Application Programming Interface. Het is code waarmee websites en toepassingen makkelijk toegang hebben tot onderdelen van andere platformen. API’s worden gebruikt om bijvoorbeeld Twitter of Facebook te integreren op je websites, maar ook om in een smartphoneapplicatie de camera te kunnen activeren.
Geen privégegevens
Het gaat voor alle duidelijkheid niet om informatie die standaard is afgeschermd voor mensen waarmee je niet bevriend bent op Facebook. Wie zijn foto’s (met uitzondering van je profielfoto) of statusupdates afschermt hoeft hier dus niet voor te vrezen.
Stalkers
Wel kan de kwestie gevoelig liggen bij mensen met wie je echt geen contact wil, bijvoorbeeld een stalker of een opdringerige ex. Zij kunnen met de truc alsnog ontdekken of je op Facebook zit en je profielfoto achterhalen.