Facebook 母公司 Meta 周二被爱尔兰数据保护委员会 (DPC) 处以 2.51 亿欧元(约合 2.63 亿美元)罚款,原因是 2018 年发现的一起数据泄露事件违反了《通用数据保护条例》(GDPR),该事件暴露了个人信息数百万用户的数据。
据爱尔兰监管机构称,此次泄露事件可以追溯到 2017 年 7 月,当时 Facebook 部署了包含“查看方式”功能的视频上传功能。
此功能允许用户像其他用户一样查看自己的 Facebook 页面。
网络攻击者利用 Facebook 的“查看为”功能中的漏洞,使他们能够结合 Facebook 的“生日快乐作曲家”功能调用视频上传器。
视频上传者生成了一个用户令牌,使攻击者能够完全访问其他用户的 Facebook 个人资料。
根据 DPC,攻击者使用被盗的令牌来利用其他帐户的类似功能,从而获得对多个用户配置文件及其相关数据的访问权限。
该机构补充说,2018 年 9 月 14 日至 9 月 28 日期间,未经授权的人员使用脚本利用此漏洞并访问了全球约 2900 万个 Facebook 帐户,其中 300 万个位于欧盟 (EU) 和欧洲经济区 (EEA)。
泄露的个人数据包括用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间轴上的帖子、用户所属的群组及其孩子的个人数据。
在发现“查看为”功能中的错误后不久,Facebook 安全人员立即采取了纠正措施并删除了该功能。
爱尔兰 DPC 特别指出了以下与 2018 年数据泄露相关的 GDPR 违规行为:
- 第三十三条第三款:未能提供违规通知详细信息–>800万欧元美好的
- 第三十三条第五款:违规事实和补救措施的记录不充分–>300万欧元美好的
- 第二十五条第一款:未能将数据保护融入系统设计–>1.3亿欧元美好的
- 第二十五条第二款:未能确保默认仅处理特定目的所需的个人数据–>1.1亿欧元美好的
DPC 副代表格雷厄姆·多伊尔 (Graham Doyle) 评论道:“这项执法行动凸显出,如果在整个设计和开发周期中未能建立数据保护要求,可能会使个人面临非常严重的风险和伤害,包括对个人基本权利和自由的风险。”专员。
“通过允许未经授权的个人资料信息泄露,此次泄露背后的漏洞导致了滥用此类数据的严重风险。”
为了回应 DPC 的声明,Meta 发言人在一份声明中向电脑发出哔哔声,声明称:“这一决定与 2018 年的一起事件有关。我们一发现问题就立即采取行动解决问题,并主动通知受影响的人员以及爱尔兰数据保护委员会。我们采取了一系列行业领先的措施来保护我们平台上的人员。”
![Facebook 锁定个人资料未显示? [ 固定的 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/10/Lock-Profile.jpg)
