Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) επέβαλε στη Meta πρόστιμο 265 εκατομμυρίων ευρώ (275,5 εκατομμύρια δολάρια) για μια τεράστια διαρροή δεδομένων που αποκάλυψε τις πληροφορίες εκατοντάδων εκατομμυρίων χρηστών του Facebook παγκοσμίως (μετά από data scraping). Το περιστατικό έλαβε χώρα το 2021.
Η απόφαση για το πρόστιμο ολοκληρώνει την έρευνα της DPC για τις πιθανές παραβιάσεις του GDPR από τη Meta, μια έρευνα που ξεκίνησε στις 14 Απριλίου 2021, μετά τη δημοσίευση δεδομένων που ανήκουν σε 533 εκατομμύρια χρήστες του Facebook.
Τα εκτεθειμένα δεδομένα περιελάμβαναν προσωπικές πληροφορίες, όπως αριθμούς κινητών τηλεφώνων, Facebook IDs, ονόματα, φύλο, τοποθεσίες, καταστάσεις σχέσεων, επαγγέλματα, ημερομηνίες γέννησης και διευθύνσεις email. Τα δεδομένα εκτέθηκαν σε ένα γνωστό hacking φόρουμ, επιτρέποντας σε διάφορους εγκληματίες του κυβερνοχώρου να τα χρησιμοποιήσουν για στοχευμένες επιθέσεις.
Δείτε επίσης: BianLian: Παραβίαση δεδομένων της Harry Rosen με ransomware
.){kind=link}
Το Facebook είπε τότε ότι οι επιτιθέμενοι συνέλεξαν τα δεδομένα εκμεταλλευόμενοι ένα σφάλμα στο εργαλείο “Contact Importer”, που τους επέτρεψε να συσχετίσουν αριθμούς τηλεφώνου με ένα Facebook ID και στη συνέχεια να αρπάξουν τις υπόλοιπες πληροφορίες για να δημιουργήσουν ένα προφίλ για τον χρήστη.
Η πλατφόρμα είπε ακόμα ότι είχε διορθώσει το σφάλμα το 2019 και ότι τα δεδομένα συλλέχθηκαν πριν.
Η έρευνα της DPC κατέληξε στο συμπέρασμα ότι η Meta (τότε Facebook) παραβίασε τα άρθρα 25 παράγραφος 1 και 25 παράγραφος 2 του GDPR, τα οποία συνοψίζονται ως εξής:
25(1) – Ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως pseudonymization, και να ενσωματώνει τις απαραίτητες διασφαλίσεις στην επεξεργασία για την εκπλήρωση των απαιτήσεων του παρόντος κανονισμού και την προστασία των δικαιωμάτων των ατόμων.
25(2) – Ο υπεύθυνος επεξεργασίας πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα προσωπικά δεδομένα που είναι απαραίτητα για κάθε σκοπό επεξεργασίας. Ειδικότερα, τα μέτρα αυτά διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα προσωπικού χαρακτήρα δεν καθίστανται προσβάσιμα χωρίς την παρέμβαση του ατόμου σε αόριστο αριθμό φυσικών προσώπων.
“Υπήρξε μια ολοκληρωμένη διαδικασία διερεύνησης, συμπεριλαμβανομένης της συνεργασίας με όλες τις άλλες εποπτικές αρχές προστασίας δεδομένων εντός της ΕΕ“, αναφέρεται στην ανακοίνωση της DPC.
Δείτε επίσης: TikTok “Invisible challenge”: Πώς το εκμεταλλεύονται οι hackers;
Σύμφωνα με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων, και οι υπόλοιπες εποπτικές αρχές συμφώνησαν με την απόφασή της να επιβάλει πρόστιμο στη Meta για παραβίαση του GDPR και διαρροή δεδομένων των χρηστών Facebook.
Data scraping
To data scraping είναι η διαδικασία άντλησης δεδομένων από πηγές που δεν προορίζονται για πρόσβαση ή χρήση με αυτόν τον τρόπο. Μπορεί να χρησιμοποιηθεί για διάφορους σκοπούς, όπως η έρευνα, το μάρκετινγκ και η δημιουργία νέων συνόλων δεδομένων, αλλά μπορεί να χρησιμοποιηθεί και για κακόβουλους σκοπούς.
Οι data scrapers είναι αυτοματοποιημένα bots που εκμεταλλεύονται open network APIs πλατφορμών που διατηρούν δεδομένα χρηστών, όπως το Facebook, για να συλλέξουν δημόσια διαθέσιμες πληροφορίες και να δημιουργήσουν τεράστιες βάσεις δεδομένων με προφίλ χρηστών.
Αν και δεν εμπλέκεται hacking, τα δεδομένα που συλλέγονται μπορούν να συνδυαστούν με δεδομένα από πολλαπλά σημεία (ιστοτόπους), δημιουργώντας πλήρη προφίλ για τους χρήστες. Αυτό καθιστά πολύ πιο αποτελεσματική την παρακολούθηση από εμπόρους ή τη στόχευση από παράγοντες απειλών.
Δείτε επίσης: Whoosh παραβίαση δεδομένων: Hacker διέρρευσε στοιχεία πελατών
Στην περίπτωση της Meta, οι επιτιθέμενοι χρησιμοποίησαν ένα σφάλμα στο Contact Importer στο Facebook και το Instagram για να συνδέσουν αριθμούς τηλεφώνου με αυτές τις δημόσιες πληροφορίες που είχαν συλλεχθεί, και έτσι μπόρεσαν να δημιουργήσουν προφίλ χρηστών που περιείχαν ιδιωτικές και δημόσιες πληροφορίες.
Το scraping είναι ενάντια στις πολιτικές των περισσότερων διαδικτυακών πλατφορμών.
Σύμφωνα με το techcrunch, η Meta είπε σχετικά με το πρόστιμο: “Η προστασία του απορρήτου και της ασφάλειας των δεδομένων των ανθρώπων είναι θεμελιώδης για τον τρόπο λειτουργίας της επιχείρησής μας. Γι’ αυτό συνεργαστήκαμε πλήρως με την Ιρλανδική Επιτροπή Προστασίας Δεδομένων για αυτό το σημαντικό θέμα. Κάναμε αλλαγές στα συστήματά μας κατά τη διάρκεια του εν λόγω χρόνου, συμπεριλαμβανομένης της κατάργησης της δυνατότητας scraping με αυτόν τον τρόπο, χρησιμοποιώντας αριθμούς τηλεφώνου. To μη εξουσιοδοτημένο data scraping είναι απαράδεκτο και αντίκειται στους κανόνες μας και θα συνεχίσουμε να εργαζόμαστε με τους συναδέλφους μας σε αυτήν την πρόκληση του κλάδου. Εξετάζουμε προσεκτικά αυτήν την απόφαση“.
Πηγή: www.bleepingcomputer.com