Meta оштрафована на 251 миллион евро за утечку данных в 2018 году, которая затронула 29 миллионов аккаунтов Facebook

Meta, материнская компания Facebook, была оштрафована во вторник Ирландской комиссией по защите данных (DPC) на 251 миллион евро (около 263 миллионов долларов) за нарушение Общего регламента защиты данных (GDPR) в связи с обнаруженной в 2018 году утечкой данных, которая раскрыла персональные данные. данные миллионов пользователей.

По данным регулятора Ирландии, нарушение произошло в июле 2017 года, когда Facebook внедрил функцию загрузки видео, включающую функцию «Просмотреть как».

Эта функция позволяла пользователям просматривать свою страницу Facebook так же, как это сделал бы другой пользователь.

Киберзлоумышленники воспользовались уязвимостью в функции Facebook «Просмотреть как», которая позволяла им запускать загрузчик видео в сочетании с функцией Facebook «Happy Birthday Composer».

Загрузчик видео сгенерировал пользовательский токен, который предоставил злоумышленникам полный доступ к профилю другого пользователя в Facebook.

По данным ЦОД, злоумышленники использовали украденный токен для использования аналогичных функций в других учетных записях, получая доступ к нескольким профилям пользователей и связанным с ними данным.

Агентство добавило, что в период с 14 по 28 сентября 2018 года неавторизованные лица использовали скрипты для использования этой уязвимости и получили доступ примерно к 29 миллионам учетных записей Facebook по всему миру, в том числе к 3 миллионам в Европейском Союзе (ЕС) и Европейской экономической зоне (ЕЭЗ).

Скомпрометированные персональные данные включали полное имя пользователя, адрес электронной почты, номер телефона, местонахождение, место работы, дату рождения, религию, пол, публикации в ленте, группах, в которых состоял пользователь, а также персональные данные его детей.

Вскоре после обнаружения ошибки в функции «Просмотреть как» сотрудники службы безопасности Facebook немедленно предприняли корректирующие действия и удалили эту функцию.

Ирландский DPC конкретно выявил следующие нарушения GDPR в связи с утечкой данных в 2018 году:

• Статья 33(3): Непредоставление подробностей уведомления о нарушении–> 8 миллионов евро отлично
• Статья 33(5): Недостаточное документирование фактов нарушений и средств правовой защиты–> 3 миллиона евро отлично
• Статья 25(1): Неспособность интегрировать защиту данных в проект системы–> 130 миллионов евро отлично
• Статья 25(2): Невозможность гарантировать, что по умолчанию обрабатываются только персональные данные, необходимые для конкретных целей–> 110 миллионов евро отлично

«Это правоприменительное действие показывает, как неспособность внедрить требования по защите данных на протяжении всего цикла проектирования и разработки может подвергнуть людей очень серьезным рискам и вреду, включая риск для основных прав и свобод людей», — прокомментировал Грэм Дойл, заместитель DPC. Комиссар.

«Позволив несанкционированное раскрытие информации профиля, уязвимости, лежащие в основе этого нарушения, создали серьезный риск неправильного использования этих типов данных».

В ответ на заявление DPC представитель Meta в заявлении для BleepingComputer, заявил: «Это решение связано с инцидентом, произошедшим в 2018 году. Мы приняли немедленные меры по устранению проблемы, как только она была обнаружена, и заранее проинформировали затронутых людей, а также Ирландскую комиссию по защите данных. У нас есть широкий спектр передовых мер для защиты людей на наших платформах».