Facebook的母公司Meta週二被愛爾蘭數據保護委員會(DPC)罰款2.51億歐元(約合2.63億美元),因為該委員會違反了與2018年發現的數據洩露有關的一般數據保護法規(GDPR),該法規暴露了數百萬用戶的個人數據。
根據愛爾蘭的監管機構的說法,漏洞可以追溯到2017年7月,當時Facebook部署了一個視頻上傳功能,其中包括“視圖”功能。
此功能使用戶可以像其他用戶一樣查看自己的Facebook頁面。
網絡攻擊者利用了Facebook的“視圖”功能中的漏洞,這使他們能夠與Facebook的“生日快樂作曲家”功能一起調用視頻上傳器。
視頻上傳器生成了一個用戶令牌,該令牌使攻擊者完全訪問了另一個用戶的Facebook配置文件。
根據DPC,攻擊者使用被盜的令牌來利用其他帳戶中的類似功能,從而訪問了多個用戶配置文件及其相關數據。
該機構補充說,在2018年9月14日至9月28日之間,未經授權的人使用腳本來利用這種漏洞,並在全球範圍內獲得了大約2900萬個Facebook帳戶,其中包括歐盟內部的300萬個(EU)(EU)和歐洲經濟區(EEA)。
折衷的個人數據包括用戶的全名,電子郵件地址,電話號碼,位置,工作地點,出生日期,宗教,性別,時間表上的帖子,這些組是成員及其子女的個人數據。
在發現該錯誤的“視圖為”功能之後不久,Facebook安全人員立即採取了糾正措施並刪除了該功能。
愛爾蘭DPC專門確定了與2018年數據洩露有關的以下GDPR違規行為:
- 第33(3)條:未能提供違規通知詳細信息 - >800萬歐元美好的
- 第33(5)條:違反事實和補救措施的文件不足 - >300萬歐元美好的
- 第25(1)條:無法將數據保護整合到系統設計中 - >€1.3億歐元美好的
- 第25(2)條:未能確保僅處理特定目的必要的個人數據,默認情況下處理 - >1.1億歐元美好的
DPC副專員格雷厄姆·道爾(Graham Doyle)評論說:“這種執法行動強調瞭如何在整個設計和開發週期中未能在數據保護要求中構建的方式如何使個人面臨非常嚴重的風險和危害,包括對個人的基本權利和自由的風險。”
“通過允許未經授權的個人資料信息曝光,這種違規背後的漏洞造成了濫用這些類型數據的嚴重風險。”
為了回應DPC的公告,Meta的發言人易怒的計算機,指出:“該決定與2018年的事件有關。我們立即採取了措施來解決問題,並積極地告知受影響的人以及愛爾蘭數據保護委員會。我們採取了廣泛的行業領先措施,以保護我們平台上的人們。 ”
