Inti de Ceukelaire ontdekte vorige maand dat het relatief simpel is om privénummers te achterhalen via Facebook. De beveiligingsonderzoeker nam de proef op de som en achterhaalde enkele telefoonnummers van Belgische beroemdheden en politici.

Ceukelaire maakt gebruik van de "who can look me up"-functie van Facebook en heeft inmiddels een script geschreven om het zoekproces te versnellen. Deze truc werkt overigens alleen in kleinere landen als België en waarschijnlijk ook Nederland.

It's not a bug, it's a feature

De onderzoeker bracht Facebook op de hoogte maar het bedrijf ziet het niet als een probleem. "Dit is alleen van toepassing op gebruikers die de 'who can look me up'-optie op 'iedereen' of 'public' hebben staan," aldus Facebook.

Het probleem is echter dat deze optie bij gebruikers standaard op "iedereen" of "public" staat waardoor iedereen standaard gevonden kan worden. Het helpt ook niet echt dat gebruikers niet de mogelijkheid hebben hun telefoonnummer helemaal niet vindbaar te maken. In het minst erge geval kan deze optie zo worden ingesteld dat alleen vrienden je telefoonnummer kunnen achterhalen.

Op de volgende pagina: Zo werkt het en dit kan je eraan doen

Ceukelaire meldt verder dat veel mensen niet weten dat Facebook hun telefoonnummer heeft. Facebook kan gelukkig niet zomaar je telefoonnummer achterhalen, maar vraagt je wel regelmatig om je telefoonnummer in toe voeren als je de app start. Toen een collega van de onderzoeker z'n telefoonnummer verwijderde uit Facebook na deze ontdekking, viel het sociale netwerk het direct weer lastig met het verzoek z'n telefoonnummer opnieuw in te voeren.

Zoekbalk

De beveiligingsonderzoeker maakt gebruik van de zoekbalk om telefoonnummers te achterhalen. Iedereen die z'n telefoonnummer publiekelijk openbaar heeft gemaakt (lees: de standaardinstelling nooit heeft gewijzigd) kan op deze manier worden gevonden. Door gebruik te maken van de "Ik ben mijn wachtwoord vergeten"- functie verlaagt Ceukelaire het aantal te proberen telefoonnummers. Met een zelfgeschreven script versnelt hij vervolgens het zoekproces.

"Oplossing"

Het probleem is gelukkig redelijk makkelijk op te lossen. Op deze Facebookpagina kan je zien of je telefoonnummer bekend is bij het sociale netwerk en hier kan je je privacy-instellingen nalopen en wijzigen. De optie: "Wie kan je zoeken met behulp van het telefoonnummer dat je hebt opgegeven" moet je op "vrienden" zetten.

In deze blogpost legt Ceukelaire stap voor stap uit hoe hij het voor elkaar heeft gekregen.

[tweet]833940117303603201:::intidc Inti De Ceukelaire:::ZOALS BELOOFD: "How I got your phone number through Facebook"[/tweet]