Meta✴ оштрафовали на €251 млн за утечку данных 3 млн европейцев

Комиссия по защите данных (DPC) Ирландии оштрафовала компанию Meta✴ за нарушение действующего в Евросоюзе «Общего регламента по защите данных» (GDPR), которое выразилось в утечке информации 3 млн европейских пользователей соцсети Facebook✴.

Источник изображения: Antoine Schibler / unsplash.com

Факт нарушения датируется 2018 годом, однако его причина восходит к 2017 году — тогда в Facebook✴ появился новый механизм загрузки видео, в состав которого входила функция «Посмотреть как» (View as), которая позволяла пользователю просмотреть свою собственную страницу в соцсети, какой её видит другой пользователь. Из-за ошибки в архитектуре этой функции она в сочетании с другой функцией под названием «Happy Birthday Composer» позволяла генерировать токен, открывавший доступ к профилю другого пользователя.

В период с 14 по 28 сентября 2018 года неавторизованные лица при помощи скриптов для эксплуатации этой уязвимости Facebook✴ произвели вход в качестве владельцев аккаунтов в 29 млн учётных записей соцсети — из них 3 млн находились в ЕС или Европейской экономической зоне, то есть в зоне ответственности DPC. Достоянием злоумышленников стали различные категории персональных данных пользователей Facebook✴: полные имена, адреса электронной почты, номера телефонов, сведения о местоположении и месте работы, даты рождения, вероисповедание, пол, публикации в ленте новостей, группы, в которых они состояли, а также персональные данные детей.

В действиях компании DPC усмотрела два нарушения: владелец соцсети не раскрыл регулятору всю информацию об инциденте, не полностью задокументировал факты нарушения и предпринятые для устранения проблемы шаги; кроме того, владелец платформы нарушил принципы GDPR, не обеспечив надлежащих мер для защиты персональных данных европейцев. По первому нарушению размер наложен штраф в размере €11 млн, по второму — €240 млн.

«Это решение связано с инцидентом от 2018 года. Мы предприняли незамедлительные действия для устранения проблемы, как только она была обнаружена, и заранее проинформировали пострадавших людей, а также ирландскую Комиссию по защите данных. Нам доступен широкий спектр ведущих в отрасли мер для защиты людей на наших платформах», — заявила ресурсу TechCrunch представитель Meta✴ Эмили Уэсткотт (Emily Westcott). В сентябре компанию оштрафовали на €91 млн за то, что в 2019 году она хранила на серверах «сотни миллионов» пользовательских паролей в открытом виде.