Facebook 母公司Meta 週二被愛爾蘭資料保護委員會(DPC) 處以2.51 億歐元(約2.63 億美元)罰款,原因是2018 年發現的一起資料外洩事件違反了《一般資料保護規範》(GDPR),該事件揭露了個人資訊數百萬用戶的資料。
據愛爾蘭監管機構稱,這起洩漏事件可以追溯到 2017 年 7 月,當時 Facebook 部署了包含「檢視方式」功能的影片上傳功能。
此功能允許用戶像其他用戶一樣查看自己的 Facebook 頁面。
網路攻擊者利用 Facebook 的「查看為」功能中的漏洞,使他們能夠結合 Facebook 的「生日快樂作曲家」功能來呼叫影片上傳器。
影片上傳者產生了一個使用者令牌,使攻擊者能夠完全存取其他使用者的 Facebook 個人資料。
根據 DPC,攻擊者使用被盜的令牌來利用其他帳戶的類似功能,從而獲得對多個使用者設定檔及其相關資料的存取權限。
該機構補充說,2018 年9 月14 日至9 月28 日期間,未經授權的人員使用腳本利用此漏洞並訪問了全球約2900 萬個Facebook 帳戶,其中300 萬個位於歐盟(EU) 和歐洲經濟區(EEA)。
洩漏的個人資料包括用戶的全名、電子郵件地址、電話號碼、位置、工作地點、出生日期、宗教、性別、時間軸上的貼文、用戶所屬的群組及其孩子的個人資料。
在發現「查看為」功能中的錯誤後不久,Facebook 安全人員立即採取了糾正措施並刪除了該功能。
愛爾蘭 DPC 特別指出了以下與 2018 年資料外洩相關的 GDPR 違規行為:
- 第三十三條第三款:未能提供違規通知詳細資訊–>800萬歐元美好的
- 第三十三條第五款:違規事實和補救措施的記錄不充分–>300萬歐元美好的
- 第二十五條第一款:未能將資料保護融入系統設計–>1.3億歐元美好的
- 第二十五條第二款:未能確保預設僅處理特定目的所需的個人資料–>1.1億歐元美好的
DPC 副代表 Graham Doyle 評論道:「這項執法行動凸顯出,如果在整個設計和開發週期中未能建立資料保護要求,可能會使個人面臨非常嚴重的風險和傷害,包括對個人基本權利和自由的風險。
“通過允許未經授權的個人資料信息洩露,此次洩露背後的漏洞導致了濫用此類數據的嚴重風險。”
為了回應 DPC 的聲明,Meta 發言人在一份聲明中向電腦發出嗶嗶聲,聲明中寫道:「這項決定與 2018 年的一起事件有關。我們一發現問題就立即採取行動解決問題,並主動通知受影響的人員以及愛爾蘭資料保護委員會。我們採取了一系列行業領先的措施來保護我們平台上的人員。
