Wéér tegenslag voor Facebook, de gifbeker is nog niet leeg
Facebook had al een zwaar jaar en vrijdag werd dat nog een flink stuk zwaarder door het nieuws dat de accounts van miljoenen gebruikers open stonden voor criminelen.
Het bedrijf had al last van een dataschandaal, waarbij 87 miljoen gebruikers werden getroffen. Het kampt nog altijd wereldwijd met problemen rond nepnieuws en haatzaaien én het heeft te maken met Russische en Iraanse trollen, die het gemunt hebben op de Congresverkiezingen in de VS. Deze week stapten plotseling ook nog de oprichters van dochterbedrijf Instagram op.
Nu blijkt dat hackers toegang hadden tot accounts van bijna 50 miljoen gebruikers. De precieze impact van deze hack, of er sprake is van misbruik en wie erachter zit, is nog onduidelijk. Facebook staat pas aan het begin van het onderzoek, de digitale inbraak werd dinsdag pas ontdekt. Het lek is volgens het bedrijf al wel gedicht.
Wat de hackers in handen hebben
De hackers hebben geen toegang gehad tot de wachtwoorden van gebruikers, zegt Facebook. In plaats daarvan kregen ze zogeheten access tokens in handen. Dit zijn een soort digitale sleutels die ervoor zorgen dat je niet steeds opnieuw hoeft in te loggen als je de app gebruikt.
Een journalist van The New York Times, die Facebook voor de krant nauwgezet volgt, noemt dit "hun meest serieuze veiligheidsprobleem tot nu toe". En voor ieder bedrijf zou zo'n hack ongelukkig uitkomen, maar in het geval van Facebook komt daar nog bij dat het hoofd beveiliging van het bedrijf, Alex Stamos, in augustus is vertrokken. Hij was eindverantwoordelijk voor dit soort zaken. Volgens The New York Times was hij het niet eens met de koers. Er is nog geen opvolger van Stamos.
"Wat je moet bedenken is dat degene die deze hack heeft uitgevoerd, veel risico heeft genomen", zegt beveiligingsonderzoeker Rickey Gevers. "Facebook gaat namelijk alles uit de kast halen om de dader te pakken, hij of zij had er ook voor kunnen kiezen om de problemen te melden en 30.000 dollar op te strijken als 'bug bounty'."
"Daarnaast zijn er meerdere softwarefouten misbruikt, wat betekent dat er veel tijd en energie in is gestopt door de hacker. En ze hebben dus access tokens van 50 miljoen mensen verzameld, ook dat kost veel tijd en energie. Je vraagt je af waarom iemand zoveel tijd, moeite en risico neemt om dit te doen."
Dit kan het bedrijf er niet bij hebben
Hoe groot of klein deze hack uiteindelijk blijkt te zijn: het is hoe dan ook een nieuwe tegenslag voor het bedrijf. Eentje die het er niet bij kan hebben. Naast dat het imago van Facebook verder schaadt - en het heeft al een paar flinke deuken opgelopen - kan dit ook een politieke kwestie worden. De autoriteiten in Californië en een commissielid van de FTC, een overheidsorgaan dat toezicht houdt op bedrijven als Facebook, hebben al aangegeven dat ze een onderzoek zullen starten.
Het bedrijf komt wel transparanter over dan afgelopen voorjaar, ten tijde van het dataschandaal rond Cambridge Analytica. Toen duurde het dagen voordat topman Mark Zuckerberg met een verklaring kwam. Dat werd hem niet in dank afgenomen.
Hij heeft daarvan geleerd en durft met groot negatief nieuws naar buiten te treden, zonder dat de precieze impact duidelijk is. Zuckerberg moet ook wel, want als het bedrijf hiermee langer had gewacht, had zonder meer tot een hoop kritiek geleid.
Waar het in maart vooral ging over de lakse houding van Facebook met betrekking tot de privacy van gebruikers, zal de discussie nu ook over iets anders gaan. Over de vraag hoe het kon dat kwaadwillenden toegang hadden tot accounts van 50 miljoen mensen. Dat is weliswaar maar 2,5 procent van het totale aantal gebruikers - ruim 2,2 miljard - maar dit zou alsnog kunnen leiden tot een nieuwe vertrouwenscrisis.