image

"Facebook weet niet waar alle persoonlijke gegevens zijn opgeslagen"

woensdag 7 september 2022, 16:31 door Redactie, 22 reacties

Facebook heeft geen exact idee waar alle persoonlijke gegevens van gebruikers precies zijn opgeslagen, zo hebben twee engineers van het bedrijf tijdens een hoorzitting voor een rechtszaak laten weten (pdf). De rechtszaak volgt op het Cambridge Analytica-schandaal. Onlangs werd een transcriptie van de hoorzitting openbaar gemaakt, waarover The Intercept vandaag bericht.

De twee Facebook-engineers, met jarenlange ervaring, werden ondervraagd door een expert die door de rechtbank was aangewezen. Deze "special master" wilde onder andere weten welke gegevens Facebook allemaal verzamelt en waar die worden opgeslagen. De engineers konden die vraag niet beantwoorden. "Ik denk niet dat er iemand is die deze vraag kan beantwoorden", aldus één van de engineers wanneer de expert vraagt waar Facebook persoonlijke gegevens van gebruikers opslaat.

Ook wanneer de expert wil weten hoe Facebook alle data behorend bij een account volgt kan de expert geen duidelijk antwoord gegeven en laat wederom weten dat niemand de vraag precies kan beantwoorden. De discussie over waar Facebook de data opslaat volgt in een zaak waarbij het bedrijf van de rechter alle verzamelde informatie over de eisers moet vrijgeven. Facebook kwam vervolgens alleen met informatie die via de "Download Your Information" tool is te downloaden.

Alle andere data valt volgens Facebook buiten de rechtszaak. De rechter wees het bedrijf terecht en stelde dat het meer informatie moet geven over het apparaat waarmee het miljarden mensen op internet kan volgen. De twee Facebook-engineers moesten in dit proces duidelijkheid verschaffen, maar stellen dat de dataverwerking zo complex is dat die ook binnen het bedrijf niet goed wordt begrepen.

De door de rechtbank aangestelde expert had hier de nodige moeite mee. "Iemand moet toch een diagram hebben waar deze data is opgeslagen." Eén van de engineers antwoordt dat Facebook een wat aparte engineeringcultuur heeft en de code vaak zijn eigen ontwerpdocument is. "Voor wat het waard is, dit was voor mij ook beangstigend toen ik begon."

Image

Reacties (22)
07-09-2022, 16:41 door [Account Verwijderd]
Onbewust moet ik denken aan citizen Donald T. in wiens 'paleis' 48 lege mappen met het opschrift geheim zijn aangetroffen.
Waar is de inhoud 'opgeslagen'....?
07-09-2022, 16:53 door Anoniem
Ik vind die vraag van "someone must have a diagram that says this is where this data is stored" ook wel een beetje vreemd.
Als je een bedrijf bent wat data opslaat vind ik het niet raar dat je een ontwerp maakt wat bestaat uit meerdere lagen,
waarin er een laag is die "wat voor data dan ook" kan opslaan en die het opslaat op de optimale plek, en dat er daarboven
dan een laag is die specifieke data opslaat (zoals persoonlijke gegevens) en die dan niet weet WAAR dat gebeurt, alleen
dat ie het bij behoefte weer terug kan lezen. De ontwerpers van de informatieverzamelingen die Facebook verzamelt
hoeven niet te weten WAAR dat dan opgeslagen wordt.
Het is alleen door de extra eisen die er nu gesteld worden aan opslag van data uit de verschillende machtsblokken
op (andere) plekken in die machtsblokken dat dit extra aspect er nu bij komt, wel wellicht is daar bij het maken van
ontwerpen lang niet altijd aan gedacht. Er is ook een conflict tussen "je wilt dat je data in je eigen machtsblok staat"
en "je wilt dat je data niet verloren gaat bij een ramp". In het ene geval wil je data lokaal houden, in het andere geval
wil je die juist zoveel mogelijk gespreid opslaan.
07-09-2022, 17:40 door Anoniem
Niemand hoeft facebook te gebruiken toch,
beter help je gebruikers die het wel gebruiken van
hun facebook verslaving af.

The Matrix
07-09-2022, 17:41 door Anoniem
Dit verbaast me niets.

Ten eerste heeft Facebook al vaker aangevoerd dat ze niet in staat zijn om alle gegevens die ze over iemand hebben vastgelegd op te hoesten. Voor Max Schrems zijn acties begon heeft hij eerst opgevraagd wat ze over hem hadden vastgelegd, daar een PDF van 1200 pagina's voor teruggekregen, en bij bestudering van die PDF concludeerde dat die niet alles verklaarde wat hij had meegemaakt en dat er dus meer moest zijn. Als ik me goed herinner heeft hij, toen hij de ontbrekende gegevens opvroeg, ze niet gekregen omdat het bedrijfsgeheimen zou blootleggen en omdat het disproportioneel belastend zou zijn voor Facebook omdat dit erg moeilijk uit te zoeken was. Met dat laatste zeiden ze toen dus ook al dat ze zelf niet wisten wat ze over mensen weten.

Ten tweede is "move fast and break things" lange tijd hun manier van werken geweest, en hoewel ze daar formeel mee zijn gestopt heb ik meer dan eens uit hun uitingen de indruk gekregen dat het nog stevig in hun bedrijfscultuur verankerd is. Als je zo systemen bouwt dan krijg je een geheel dat ondoordacht is, en steeds chaotischer en complexer wordt. Op een gegeven moment heeft niet alleen niemand er meer overzicht over, maar is het voor wie dan ook ondoenlijk overzicht ooit nog op te bouwen.

Het klopt met de mededeling dat de code de documentatie is. Dat is documentatie op detailniveau. Als er niet is ontwikkeld in termen van grote, overkoepelende structuren, dan ligt het voor de hand dat die structuren er niet zijn of dat ze rudimentair zijn en aan alle kanten rammelen; dan is er gewoon onvoldoende op dat niveau nagedacht. Het kan tientallen jaren kosten om zoiets te ontwarren, als dat al lukt.

Ik kan me dus werkelijk voorstellen dat ze dit niet kunnen. Dat vind ik absoluut geen excuus. Als je jezelf in een hoek schildert dan is niemand anders dan jij zelf verantwoordelijk voor het feit dat je daar niet op een leuke manier uit kan komen. Ze hebben een ongelofelijke rijkdom én macht opgebouwd met doorbeuken zonder hun troep op te ruimen. Als ze zichzelf in een positie hebben gebracht die niet vol te houden is dan is het hun eigen schuld en volledig hun eigen verantwoordelijkheid.

Ik zou het heel gezond vinden als ze heel stevig op hun bek zouden gaan. Niet alleen in deze zaak zelf. Als in deze zaak wordt vastgesteld dat ze ze niet overzien welke persoonsgegevens ze verwerken en waar ze die opslaan dan voldoen ze per definitie niet aan de AVG. Wat in deze zaak gezegd wordt zou in de EU vergaande consequenties moeten krijgen.
07-09-2022, 17:55 door Anoniem
Door Quink: Onbewust moet ik denken aan citizen Donald T. in wiens 'paleis' 48 lege mappen met het opschrift geheim zijn aangetroffen.
Waar is de inhoud 'opgeslagen'....?

Ook toen hij nog niet actief was waren ze al met hem bezig,
nu zijn ze nog met hem bezig,

De fabrieken maken ook nog steeds maskers met blond haar van hem
of ze zijn nog diep nadenkend peinzend bezig over zijn kleine handjes aan het nadenken
die hij heeft,lekker belangrijk,whats next?

Zubgerd
07-09-2022, 18:16 door Anoniem
Door Anoniem: Ik vind die vraag van "someone must have a diagram that says this is where this data is stored" ook wel een beetje vreemd.
Als je een bedrijf bent wat data opslaat vind ik het niet raar dat je een ontwerp maakt wat bestaat uit meerdere lagen,
waarin er een laag is die "wat voor data dan ook" kan opslaan en die het opslaat op de optimale plek, en dat er daarboven
dan een laag is die specifieke data opslaat (zoals persoonlijke gegevens) en die dan niet weet WAAR dat gebeurt, alleen
dat ie het bij behoefte weer terug kan lezen. De ontwerpers van de informatieverzamelingen die Facebook verzamelt
hoeven niet te weten WAAR dat dan opgeslagen wordt.
Het is alleen door de extra eisen die er nu gesteld worden aan opslag van data uit de verschillende machtsblokken
op (andere) plekken in die machtsblokken dat dit extra aspect er nu bij komt, wel wellicht is daar bij het maken van
ontwerpen lang niet altijd aan gedacht. Er is ook een conflict tussen "je wilt dat je data in je eigen machtsblok staat"
en "je wilt dat je data niet verloren gaat bij een ramp". In het ene geval wil je data lokaal houden, in het andere geval
wil je die juist zoveel mogelijk gespreid opslaan.
Deze reactie begrijp ik als het gaat over de fysieke locatie van opslag. Als het gaat om de laag erboven "het logische schema" zou hier volgens mij absolute duidelijkheid over gegeven moeten kunnen worden. In combinatie met de mapping van dit schema op de opslagomgevingen ontstaat er dan al veel meer duidelijlkheid.
Dat binnen een opslagomgeving de mapping op een fysieke schijf niet zo maar inzichtelijk is is iets anders.
Ik krijg sterk de indruk dat ook die integrale logische plaat (en de bijbehorende mapping) bij Facebook ook "zoek" zijn.

Dat betekent dus ook dat ze een verzoek van een gebruiker om in te zien wat er over hem/haar door Facebook is opgeslagen niet beantwoord kan worden. Daarmee voldoen ze dus gewoon niet aan de wet.
07-09-2022, 18:23 door Nescio
Doet mij meer denken aan Rutte"Daar heb ik geen actieve herinnering aan.
07-09-2022, 18:31 door Anoniem
Door Anoniem: Ik vind die vraag van "someone must have a diagram that says this is where this data is stored" ook wel een beetje vreemd.
Als je een bedrijf bent wat data opslaat vind ik het niet raar dat je een ontwerp maakt wat bestaat uit meerdere lagen [...] De ontwerpers van de informatieverzamelingen die Facebook verzamelt
hoeven niet te weten WAAR dat dan opgeslagen wordt.
Maar als het bedrijf zo gestructureerd werkt kan het van al die lagen documentatie opleveren. Het punt is dat ze dat niet kunnen.
Het is alleen door de extra eisen die er nu gesteld worden aan opslag van data uit de verschillende machtsblokken
op (andere) plekken in die machtsblokken dat dit extra aspect er nu bij komt, wel wellicht is daar bij het maken van
ontwerpen lang niet altijd aan gedacht.
Ik heb voor een bank gewerkt die op een gegeven moment internationaal diensten ging aanbieden. Dan houd je gewoon rekening met dat je met de wetgeving van al die landen waar je actief wordt te maken krijgt; dan verdiep je je (als bedrijf) in al die wetgeving, en je zorgt dat je systemen eraan voldoen. Dat is een hoop werk, maar het kan, je kan het zien aankomen en je kan het goed afhandelen.

Dus "de extra eisen die nu gesteld worden" opvoeren is onzin. Als je actief wordt in meerdere landen is het een open deur dat je aan de wetgeving van al die landen moet voldoen en is het een open deur dat je huiswerk te doen hebt om dat voor elkaar te krijgen. Je gaat zelf uitvogelen wat er nodig is. Als je overvallen wordt door eisen die landen stellen komt dat simpelweg omdat je je huiswerk niet gedaan hebt.

Facebook is geen eenmanszaak met beperkte mogelijkheden, het is een groot en onvoorstelbaar rijk bedrijf dat dit soort dingen prima kan als ze ervoor kiezen het te doen. Maar misschien betalen ze hun juristen liever om te proberen in rechtzaken onder de schade uit te komen dan om ze te vertellen wat ze moeten doen om te voorkomen dat de schade ontstaat.
07-09-2022, 18:44 door johanw
Dat klinkt als een klein bedrijf dat zonder veel planning snel erg groot is geworden en waar het nu een enorme puinzooi is. Zie twitter voor een extreem voorbeeld hiervan.
07-09-2022, 18:49 door Anoniem
Facebook moet toch weten dat hun data "In the Cloud" is opgeslagen?
07-09-2022, 19:39 door Anoniem
En gij geleuf da.
07-09-2022, 22:06 door spatieman
eh, bij de NSA waarschijnlijk ¿¿¿
07-09-2022, 22:59 door Anoniem
Door Anoniem: Facebook moet toch weten dat hun data "In the Cloud" is opgeslagen?

Dat is waarschijnlijk precies het geval - de applicatie en de storage zullen erg onkoppeld zijn .
Ze ZIJN de cloud.

Ik zou me zelfs kunnen voorstellen dat "de storage" de data dynamisch migreert op grond van access patronen . (naar "dicht bij de applicatie die de meeste requests doet" ) .
Je verwacht dat er wel constraints zijn om te zorgen dat kopieen niet in hetzelfde fysieke DC eindigen .

Maar dat er vanuit engineering perspectief geen reden was om de juridisch/geografische locatie van data te taggen - lijkt me voor iets als FB (ook gezien de organische groei van het product/platform) - best aannemelijk als waarheid .
07-09-2022, 23:30 door Anoniem
Door Anoniem:
Ik heb voor een bank gewerkt die op een gegeven moment internationaal diensten ging aanbieden. Dan houd je gewoon rekening met dat je met de wetgeving van al die landen waar je actief wordt te maken krijgt; dan verdiep je je (als bedrijf) in al die wetgeving, en je zorgt dat je systemen eraan voldoen. Dat is een hoop werk, maar het kan, je kan het zien aankomen en je kan het goed afhandelen.
Er is natuurlijk wel een behoorlijk verschil tussen een bank die altijd al aan allerlei lokale wetten gebonden is geweest
en te maken heeft met klanten waarvan redelijk vast staat wie ze zijn en waar ze wonen, en een internet website die vanaf
het moment dat je em aansteekt in principe klanten van over de hele wereld heeft die zich niet deugdelijk hoeven te
legitimeren en waarvan de locatie niet vaststaat en later zelfs vals kan blijken te zijn, en de jurisdictie niet duidelijk is.
Je zou dan vanaf dag 1 met alle mogelijke wet- en regelgevingen rekening moeten houden in alle landen van de wereld,
en op alles moeten rekenen wat betreft "verhuizen" van informatie. Ik kan me best voorstellen dat een bedrijf daar niet
vanaf dag 1 mee bezig is.
08-09-2022, 08:01 door Anoniem
Ik krijg wel vaker de indruk dat bedrijven en instellingen de grip op hun systeem kwijt zijn. Het spoor bijster dus. Of ze willen die informatie gewoon niet geven. Mijn leven zonder Facebook bevalt me overigens prima.
08-09-2022, 09:37 door Anoniem
"Facebook heeft geen exact idee waar alle persoonlijke gegevens van gebruikers precies zijn opgeslagen"
De data van de niet gebruikers is wel vindbaar?
08-09-2022, 09:54 door Anoniem
Door Anoniem: Dit verbaast me niets.
(...)
Ik zou het heel gezond vinden als ze heel stevig op hun bek zouden gaan. Niet alleen in deze zaak zelf. Als in deze zaak wordt vastgesteld dat ze ze niet overzien welke persoonsgegevens ze verwerken en waar ze die opslaan dan voldoen ze per definitie niet aan de AVG. Wat in deze zaak gezegd wordt zou in de EU vergaande consequenties moeten krijgen.

Het Europees Hof zou per inwoner van Europa een boete aan facebook moeten opleggen, aangezien dit allemaal afzonderlijke cases zijn waarin FB/meta de data niet kan opleveren(1).
Combineer dit met het feit dat er data gescraped wordt zonder toestemming (2) en deze niet op de juiste locatie wordt opgeslagen (3). 3 cases per inwoner.
Ga er even van uit dat 10% van de bevolking geen gebruikt maakt van het internet (kinderen, ouderen) en dan heb je 400 miljoen inwoners, maal 3 cases.
De laagste boete die aan facebook is opgelegd is 13 miljoen, maar bij het uitgaan van het gemiddelde dat wordt voorgeschreven door de wet is het 45 miljoen.
Boete van 54 miljard opleggen. kan het europees hof ook even de cyber industrie sponsoren en zorgen dat ze andere cases tijdig behandelen.
08-09-2022, 10:02 door Anoniem
"Facebook weet niet waar alle persoonlijke gegevens zijn opgeslagen"
Welkom bij de nadelen van de cloud
08-09-2022, 11:25 door Anoniem
De voordelen van de cloud zul je bedoelen.

Een prachtige manier om traffic analyse, monitoring en surveillance voor de autoriteiten en eindgebruikers ondoorzichtig te houden.

Wat niet weet, dat niet deert. Cambridge Analytics.
Trump voer er wel bij en wie allemaal nog meer.

De Ierse waakhond gedraagt zich tandenloos vanwege hun Wirtschaftswunder door de komst van Amerikaanse Big Tech.

En dat is niet eerlijk, zou Calimero zeggen.
08-09-2022, 11:41 door Anoniem
Door Anoniem: Niemand hoeft facebook te gebruiken toch, beter help je gebruikers die het wel gebruiken van
hun facebook verslaving af.
The Matrix
@The Matrix: je weet toch dat je geen gebruiker van Facebook hoeft te zijn om toch in hun datasets terecht te komen? Bonus: dan heb je nóg minder mogelijkheden om die data weg te laten halen of in te zien.
Verslavingszorg is dan ook niet de oplossing, Goede wetgeving en krachtige handhaving wel. Gelukkig zijn ze daar in zowel de VS als de EU nu achter en begint het tij zich eindelijk te keren tegen deze bedrijven.
Wat wij kunnen doen, is dat versterken door over al te benadrukken hoe wel en dat ook aan onze volksvertegenwoordigers duidelijk te maken middels constructieve en onderbouwde gesprekken.
08-09-2022, 13:36 door Anoniem
Door Anoniem:
Door Anoniem: Niemand hoeft facebook te gebruiken toch, beter help je gebruikers die het wel gebruiken van
hun facebook verslaving af.
The Matrix
@The Matrix: je weet toch dat je geen gebruiker van Facebook hoeft te zijn om toch in hun datasets terecht te komen? Bonus: dan heb je nóg minder mogelijkheden om die data weg te laten halen of in te zien.
Verslavingszorg is dan ook niet de oplossing, Goede wetgeving en krachtige handhaving wel. Gelukkig zijn ze daar in zowel de VS als de EU nu achter en begint het tij zich eindelijk te keren tegen deze bedrijven.
Wat wij kunnen doen, is dat versterken door over al te benadrukken hoe wel en dat ook aan onze volksvertegenwoordigers duidelijk te maken middels constructieve en onderbouwde gesprekken.

Dan ga je ervan uit dat onze "vertegenwoordigers" het (willen) snappen.
09-09-2022, 17:19 door Anoniem
Voorstel: alle pii of afgeleide data moet verplicht gewist worden.
Als je het niet kan vinden volstaat een datacenter wipe natuurlijk ook.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.