Facebook heeft in een blogpost bekendgemaakt dat het een lek heeft gedicht dat de contactinformatie van zes miljoen gebruikers onbedoeld publiek maakte.

Het sociale netwerk wijdt het beveiligingslek aan een technische fout in het archief dat het bijhoudt van haar 1,1 miljard gebruikers wereldwijd. Facebookgebruikers die een archief van hun account downloadden, kregen e-mailadressen en/of telefoonnummers van andere gebruikers te zien, terwijl die nooit publiek beschikbaar werden gemaakt.

De informatie was afkomstig uit ‘schaduwprofielen’ die Facebook van haar gebruikers bijhoudt. Wanneer je als (nieuwe) gebruiker een externe contactenlijst – bijvoorbeeld van je e-mailaccount – met Facebook synchroniseert om vriendensuggesties te krijgen, wordt die informatie van je contacten op de servers van het sociale netwerk opgeslagen in een soort schaduwprofiel.

De gegevens uit die schaduwprofielen werden onbedoeld vermengd met informatie die de gebruikers zelf aan hun profiel hebben toegevoegd, waardoor ze werden getoond wanneer een gebruiker een archief van zijn account downloadde. Dat lek is nu gedicht, nadat het volgens Reuters meer dan een jaar aanwezig was.

Het nieuws dat Facebook een schaduwprofiel van haar gebruikers bijhoudt, is bij velen in het verkeerde keelgat geschoten. Zeker nu bekend is dat die informatie mogelijk in het bezit van anderen is geraakt. Verschillende gebruikers eisen dan ook dat Facebook hen informeert over wie toegang heeft gekregen tot de informatie.