Ruim 2,5 miljoen gelekte e-mailadressen van Facebook-gebruikers zijn toegevoegd aan de zoekmachine voor datalekken, Have I Been Pwned (HIBP). De verzameling maakt deel uit van de gigantische dataset die op internet bijna gratis wordt aangeboden. HIBP biedt gebruikers de mogelijkheid te checken of hun mailadres is gelekt.
Volgens de Israëlische securityexpert Alon Gal zijn de privégegevens van liefst 533 miljoen Facebook-gebruikers gelekt. Daar horen ook 5,4 miljoen Nederlanders en 3,1 miljoen Belgen bij. Onder meer hun Facebook-id, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum, werkgever en relatiestatus dreigen in verkeerde handen te komen. Ook zitten er soms e-mailadressen bij wat het extra gevaarlijk maakt.
Kwaadwillenden kunnen door de lek telefoonnummers aan identiteiten koppelen. Zeker voor scammers, hackers en verspreiders van ransomware kan deze informatie een interessant wapen vormen. Ze kunnen deze gegevens gebruiken voor social engineering.
Facebook meldt dat het gaat om oudere gegevens die in 2019 zijn gestolen. Een aanvaller maakte gebruik van een fout in Facebooks invoerfunctie voor contacten waarbij willekeurige telefoonnummers zijn te matchen met profielen. Dit lek dat de diefstal mogelijk maakt, is in augustus van dat jaar gedicht. De gestolen data werden eerst op illegale marktplaatsen aangeboden, maar zijn nu gratis van een forum te halen.