Meta ซึ่งเป็นบริษัทแม่ของ Facebook ถูกปรับ 251 ล้านยูโร (ประมาณ 263 ล้านดอลลาร์) เมื่อวันอังคารโดยคณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) เนื่องจากละเมิดกฎการคุ้มครองข้อมูลทั่วไป (GDPR) ที่เกี่ยวข้องกับการละเมิดข้อมูลที่ค้นพบในปี 2561 ที่เปิดเผยข้อมูลส่วนบุคคล ข้อมูลของผู้ใช้หลายล้านคน
ตามหน่วยงานกำกับดูแลของไอร์แลนด์ การละเมิดเกิดขึ้นตั้งแต่เดือนกรกฎาคม 2017 เมื่อ Facebook ใช้ฟังก์ชันการอัปโหลดวิดีโอที่มีคุณลักษณะ "ดูเป็น"
คุณลักษณะนี้อนุญาตให้ผู้ใช้ดูหน้า Facebook ของตนเองได้เหมือนกับที่ผู้ใช้รายอื่นทำ
ผู้โจมตีทางไซเบอร์ใช้ประโยชน์จากช่องโหว่ในฟีเจอร์ “ดูเป็น” ของ Facebook ซึ่งทำให้พวกเขาสามารถเรียกใช้ตัวอัปโหลดวิดีโอร่วมกับฟีเจอร์ “สุขสันต์วันเกิดนักแต่งเพลง” ของ Facebook
ผู้อัปโหลดวิดีโอสร้างโทเค็นผู้ใช้ที่ทำให้ผู้โจมตีสามารถเข้าถึงโปรไฟล์ Facebook ของผู้ใช้รายอื่นได้อย่างเต็มที่
ตาม DPC ผู้โจมตีใช้โทเค็นที่ถูกขโมยเพื่อใช้ประโยชน์จากคุณสมบัติที่คล้ายกันในบัญชีอื่น ๆ เพื่อเข้าถึงโปรไฟล์ผู้ใช้หลายโปรไฟล์และข้อมูลที่เกี่ยวข้อง
หน่วยงานเสริมว่าระหว่างวันที่ 14 กันยายน ถึง 28 กันยายน 2018 บุคคลที่ไม่ได้รับอนุญาตใช้สคริปต์เพื่อใช้ประโยชน์จากช่องโหว่นี้ และเข้าถึงบัญชี Facebook ประมาณ 29 ล้านบัญชีทั่วโลก รวมถึง 3 ล้านบัญชีภายในสหภาพยุโรป (EU) และเขตเศรษฐกิจยุโรป (EEA)
ข้อมูลส่วนบุคคลที่ถูกบุกรุก ได้แก่ ชื่อนามสกุลของผู้ใช้ ที่อยู่อีเมล หมายเลขโทรศัพท์ สถานที่ สถานที่ทำงาน วันเกิด ศาสนา เพศ โพสต์บนไทม์ไลน์ กลุ่มที่ผู้ใช้เป็นสมาชิก และข้อมูลส่วนบุคคลของบุตรหลาน
ไม่นานหลังจากค้นพบจุดบกพร่องในฟีเจอร์ “ดูเป็น” เจ้าหน้าที่รักษาความปลอดภัยของ Facebook ก็ได้ดำเนินการแก้ไขทันทีและนำฟังก์ชันการทำงานออก
DPC ของไอร์แลนด์ระบุการละเมิด GDPR ต่อไปนี้โดยเฉพาะซึ่งเกี่ยวข้องกับการละเมิดข้อมูลในปี 2018:
- บทความ 33(3):ความล้มเหลวในการให้รายละเอียดการแจ้งเตือนการละเมิด–>8 ล้านยูโรดี
- บทความ 33(5):เอกสารที่ไม่เพียงพอเกี่ยวกับข้อเท็จจริงการละเมิดและการเยียวยา–>3 ล้านยูโรดี
- บทความ 25(1):ความล้มเหลวในการรวมการปกป้องข้อมูลในการออกแบบระบบ–>130 ล้านยูโรดี
- บทความ 25(2):ความล้มเหลวในการตรวจสอบให้แน่ใจว่าเฉพาะข้อมูลส่วนบุคคลที่จำเป็นสำหรับวัตถุประสงค์เฉพาะเท่านั้นที่ได้รับการประมวลผลตามค่าเริ่มต้น–>110 ล้านยูโรดี
“การดำเนินการบังคับใช้นี้เน้นย้ำว่าความล้มเหลวในการสร้างข้อกำหนดในการปกป้องข้อมูลตลอดวงจรการออกแบบและการพัฒนาอาจทำให้บุคคลมีความเสี่ยงและอันตรายที่ร้ายแรงมากได้อย่างไร รวมถึงความเสี่ยงต่อสิทธิและเสรีภาพขั้นพื้นฐานของบุคคล” Graham Doyle รอง DPC ให้ความเห็น กรรมาธิการ
“ด้วยการอนุญาตให้มีการเปิดเผยข้อมูลโปรไฟล์โดยไม่ได้รับอนุญาต ช่องโหว่ที่อยู่เบื้องหลังการละเมิดนี้ทำให้เกิดความเสี่ยงร้ายแรงต่อการใช้ข้อมูลประเภทนี้ในทางที่ผิด”
เพื่อตอบสนองต่อการประกาศของ DPC โฆษกของ Meta ได้ออกแถลงการณ์ถึงปิ๊งคอมพิวเตอร์,กล่าวว่า “การตัดสินใจครั้งนี้เกี่ยวข้องกับเหตุการณ์ที่เกิดขึ้นในปี 2561เราดำเนินการแก้ไขปัญหาทันทีที่พบปัญหาดังกล่าว และแจ้งประชาชนที่ได้รับผลกระทบทราบล่วงหน้า รวมถึงแจ้งคณะกรรมาธิการคุ้มครองข้อมูลของไอร์แลนด์ด้วย เรามีมาตรการชั้นนำในอุตสาหกรรมที่หลากหลายเพื่อปกป้องผู้คนทั่วทั้งแพลตฟอร์มของเรา”
