Meta mit 251 Millionen Euro für Datenpanne von 2018 bestraft, die 29 Millionen Facebook-Konten betraf

Meta, die Muttergesellschaft von Facebook, wurde am Dienstag von der irischen Datenschutzkommission (DPC) mit 251 Millionen Euro (rund 263 Millionen Dollar) bestraft, weil sie die Datenschutz-Grundverordnung (DSGVO) im Zusammenhang mit einer 2018 entdeckten Datenpanne verletzt hat, die die persönlichen Daten von Millionen von Nutzern offengelegt hat.

Laut dem irischen Regulierungsbehörde reicht die Panne bis Juli 2017 zurück, als Facebook eine Video-Upload-Funktion einführte, die eine „Als jemand ansehen“-Funktion beinhaltete.

Diese Funktion erlaubte es den Nutzern, ihre eigene Facebook-Seite so zu sehen, wie es ein anderer Nutzer tun würde.

Die Cyberangreifer nutzten eine Schwachstelle in der „Als jemand ansehen“-Funktion von Facebook aus, die es ihnen ermöglichte, den Video-Uploader in Verbindung mit der „Happy Birthday Composer“-Funktion von Facebook zu aktivieren.

Der Video-Uploader generierte ein Benutzer-Token, das den Angreifern vollen Zugriff auf das Facebook-Profil des anderen Nutzers gab.

Laut der DPC verwendeten die Angreifer das gestohlene Token, um ähnliche Funktionen in anderen Konten auszunutzen und Zugriff auf mehrere Benutzerprofile und deren zugehörige Daten zu erhalten.

Die Behörde fügte hinzu, dass zwischen dem 14. September und dem 28. September 2018 unbefugte Personen Skripte verwendeten, um diese Schwachstelle auszunutzen und weltweit auf etwa 29 Millionen Facebook-Konten zuzugreifen, darunter 3 Millionen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR).

Die kompromittierten persönlichen Daten umfassten den vollständigen Namen des Nutzers, die E-Mail-Adresse, die Telefonnummer, den Standort, den Arbeitsplatz, das Geburtsdatum, die Religion, das Geschlecht, Beiträge auf Zeitlinien, Gruppen, in denen der Nutzer Mitglied war, und die persönlichen Daten ihrer Kinder.

Kurz nach der Entdeckung des Fehlers in seiner „Als jemand ansehen“-Funktion ergriffen die Sicherheitsmitarbeiter von Facebook sofortige Korrekturmaßnahmen und entfernten die Funktionalität.

Die irische DPC identifizierte spezifisch die folgenden Verstöße gegen die DSGVO im Zusammenhang mit der Datenpanne von 2018:

• Artikel 33(3): Versäumnis, Details zur Verletzungsbenachrichtigung bereitzustellen –> 8 Millionen Euro Geldstrafe
• Artikel 33(5): Unzureichende Dokumentation der Verletzungsfakten und Abhilfemaßnahmen –> 3 Millionen Euro Geldstrafe
• Artikel 25(1): Versäumnis, Datenschutz in das Systemdesign zu integrieren –> 130 Millionen Euro Geldstrafe
• Artikel 25(2): Versäumnis, sicherzustellen, dass nur persönliche Daten, die für bestimmte Zwecke erforderlich sind, standardmäßig verarbeitet werden –> 110 Millionen Euro Geldstrafe **

„Diese Durchsetzungsmaßnahme verdeutlicht, wie das Versäumnis, Datenschutzanforderungen während des Design- und Entwicklungszyklus zu integrieren, Einzelpersonen sehr ernsthaften Risiken und Schäden aussetzen kann, einschließlich eines Risikos für die grundlegenden Rechte und Freiheiten von Einzelpersonen“, kommentierte Graham Doyle, der stellvertretende Kommissar der DPC.

„Durch die unbefugte Offenlegung von Profilinformationen verursachten die Schwachstellen hinter diesem Vorfall ein erhebliches Risiko für den Missbrauch dieser Arten von Daten.“

Als Reaktion auf die Ankündigung der DPC erklärte ein Sprecher von Meta in einer Stellungnahme gegenüber BleepingComputer: „Diese Entscheidung bezieht sich auf einen Vorfall aus dem Jahr 2018. Wir haben sofortige Maßnahmen ergriffen, um das Problem zu beheben, sobald es identifiziert wurde, und wir haben proaktiv die betroffenen Personen sowie die irische Datenschutzkommission informiert. Wir haben eine Vielzahl von branchenführenden Maßnahmen ergriffen, um die Menschen auf unseren Plattformen zu schützen.