Wat Facebook een hack noemt, heet bij hackers een crack

Sociale media, hackers en algoritmes: tech-journalist Gerard Janssen legt in deze rubriek uit waar het botst met mensenrechten. Deze keer: hoe gevaarlijk zijn vrij toegankelijke databases vol informatie over ons?

In september 2019 vond de Indiase hacker Sanyam Jain een database met 419 miljoen Facebook-identificatienummers en telefoonnummers. Iedereen die het goede webadres intikte, kon de data bekijken zonder te hoeven inloggen.

Jain is vrijwilliger van de GDI Foundation, een internationale organisatie die strijdt voor een open en vrij internet. Om te controleren of de telefoonnummers echt waren, werd een app gestuurd naar John Cena, een beroemde American wrestler – en held van Jain. Er kwam antwoord! Cena bedankte Jain via Twitter omdat hij nu wist dat zijn telefoonnummer niet meer zo geheim was.

Van wie de database was, is nooit duidelijk geworden, maar hij moest zo snel mogelijk offline. Nadat een tech-journalist zich ermee ging bemoeien, verdween de database.

530 miljoen accounts

In april van dit jaar verscheen opnieuw een Facebookdatabase online, nu met 530 miljoen Facebook-accounts en de bijbehorende telefoonnummers. Dit keer verdween de database niet, en kon iedereen alle namen en telefoonnummers downloaden.

Facebook meldde dat het geen ‘hack’ was, omdat er niet was ingebroken in de computers van Facebook. De data waren verzameld door handig gebruik te maken van de Facebookdiensten. Iedereen kan een voor een alle Facebookpagina’s bekijken en alle openbare gegevens kopiëren. Als je dit automatiseert, met een computerprogramma, wordt dat ‘scrapen’ genoemd.

Toch mag je dit rustig een hack noemen, in de betekenis van het creatief gebruiken van technologie. Wat Facebook een ‘hack’ noemt, noemen hackers een ‘crack’. Opmerkelijk is dat een PR-medewerker van Facebook, die reageerde op het laatste lek, per ongeluk een interne mail meestuurde aan een Belgische journalist. Daarin stond dat Facebook op de lange termijn nog meer ‘scraping incidenten’ verwacht, en dat het ‘belangrijk is om te normaliseren dat dit regelmatig gebeurt’.

Machtige wapens

Maar dit normaliseren is gevaarlijk. Dit soort databases zijn machtige wapens, zeker in combinatie met andere gegevens, zoals wie je ‘liket’ en van welke Facebookgroepen je lid bent. In het eenvoudigste geval worden dit soort databases gebruikt om sms’jes te sturen, waarin nep-banken of -instellingen vragen om je inloggegevens. In ernstiger gevallen kunnen ze van pas komen om mensen op te sporen die verborgen willen blijven. Denk aan lhbti’ers in landen waar ze vervolgd worden of vrouwen die op de vlucht zijn omdat ze eerwraak vrezen.

Ook mensenrechtenactivisten, journalisten en klokkenluiders lopen extra gevaar voor sim-swapping, waarbij iemand je telefoonnummer steelt door zich als jou voor te doen bij een telecomprovider. Met de Facebookdata ernaast is het niet moeilijk om te antwoorden op extra ‘checks’ als de naam van je huisdier of moeder.

Ten slotte kunnen dit soort geschraapte data tot de verkeerde conclusies leiden. Het is bijvoorbeeld mogelijk om openbare Twitterdata te ‘scrapen’ en te kijken wie John Cena allemaal retweet en liket. Dan verschijnt er een netwerkdiagram, waarin Twittergebruikers als vliegen in een web van relaties te zien zijn. Een knappe analist die weet te verklaren hoe John Cena in hetzelfde web is terechtgekomen als een Indiase hacker.