Facebook deelde verkeerdelijk gebruikersdata met duizenden ontwikkelaars

Meer dan 5.000 ontwikkelaars kregen via Facebook toegang tot data van gebruikers waarop ze geen recht hadden. Facebook heeft het probleem intussen verholpen.

Data van inactieve Facebookgebruikers werd toch gedeeld met ontwikkelaars van Facebook-toepassingen, ook al moest die data ontoegankelijk zijn. Dat geeft Facebook zelf toe. Wanneer een gebruiker stopt met zijn account ge gebruiken en 90 dagen niet meer inlogt op het sociale netwerk, moeten de gegevens in principe achter slot en grendel gaan tot de persoon in kwestie opnieuw inlogt. Die maatregel was deel van de reactie van Facebook op het Cambridge Analytica-schandaal in 2018 waarbij data van 87 miljoen gebruikers oneigenlijk werd gedeeld.

Het probleem deed zich voor in een scenario waarbij iemand via Facebook inlogt op een toepassing en vervolgens vrienden uitnodigt voor die toepassing. In dat geval maakte Facebook geen onderscheid tussen actieve en non-actieve accounts en werden persoonlijke data wel gedeeld met ontwikkelaars.

Facebook sign-in

Wie Facebook sign-in gebruikt om op toepassingen van derden in te loggen, geeft zo automatisch toegang aan die app tot persoonlijke gegevens zoals geslacht, locatie, likes en leeftijd. Ook data van vrienden in het netwerk wordt toegankelijk wanneer die worden uitgenodigd. Die realiteit illustreert waarom het interessanter is om zelf een nieuwe gebruikersnaam en wachtwoordcombinatie aan te maken voor een toepassing of website in de plaats van op Facebook te vertrouwen.

Dat het systeem toegang geeft tot een heleboel persoonlijke data, is dus opzettelijk. Dat ook data van inactieve gebruikers wordt gedeeld, was wel een fout. Facebook heeft het probleem intussen verholpen maar niet voordat meer dan 5.000 ontwikkelaars per ongeluk profiteerden van het lek.

Het sociale netwerk probeert wel om de zaken te verbeteren. Zo komen er binnenkort nieuwe gebruiksvoorwaarden voor ontwikkelaars aan die strengere beperkingen opleggen voor wat er met Facebookdata mag gebeuren. Zuckerberg en de zijnen voorzien bovendien het recht om een derde partij te onderwerpen aan een audit of te eisen dat data verwijderd worden.