Een database met meer dan vierhonderd miljoen telefoonnummers, en in sommige gevallen ook andere gegevens, van Facebook-gebruikers heeft lange tijd onbeschernmd online gestaan.

Dat meldt de Amerikaanse online uitgever TechCrunch.

De server waarop de database te vinden was, was niet met een wachtwoord beveiligd. En zo kon iedereen toegang krijgen tot de database met unieke Facebook-ID's van de gebruikers en de bijbehorende telefoonnummers. Het gaat om meer dan 419 miljoen records met verschillende databases van gebruikers in verschillende regio's, waaronder gegevens van 133 miljoen Amerikaanse Facebook-accounts, 18 miljoen in het Verenigd Koninkrijk en één met meer dan 50 miljoen accounts in Vietnam. In sommige gevallen waren ook de naam, het geslacht en de locatie van de gebruiker per land zichtbaar.

Het Facebook-ID van een gebruiker is meestal een lang, uniek en openbaar nummer dat aan het account is gekoppeld en dat gemakkelijk kan worden gebruikt om de gebruikersnaam van een account te onderscheiden. Maar sinds Facebook de toegang tot telefoonnummers van gebruikers een jaar geleden beperkt heeft, zouden die telefoonnummers sindsdien dan ook niet meer openbaar zijn.

TechCrunch heeft een aantal vermeldingen in de database geverifieerd door het telefoonnummer van een bekende Facebook-gebruiker te vergelijken met het vermelde Facebook-ID. Ze hebben ook andere records gecontroleerd door telefoonnummers te vergelijken met de wachtwoordresetfunctie van Facebook, die kan worden gebruikt om het telefoonnummer van een gebruiker dat aan zijn account is gekoppeld, gedeeltelijk te onthullen.

Nu zijn miljoenen telefoonnummers van gebruikers alleen aan de hand van hun Facebook-ID blootgelegd, waardoor ze het risico lopen op spam-oproepen en SIM-swapping-aanvallen, waarbij mobiele providers worden misleid om het telefoonnummer van een persoon aan een aanvaller te geven. Met het telefoonnummer van iemand anders kan een aanvaller geforceerd wachtwoorden opnieuw instellen op elk internetaccount dat aan dat nummer is gekoppeld.