Meta multada con €251M por la violación de datos de 2018 que afectó a 29M de cuentas de Facebook

Meta, la empresa matriz de Facebook, fue multada con €251 millones (alrededor de $263 millones) el martes por la Comisión de Protección de Datos de Irlanda (DPC) por violar el Reglamento General de Protección de Datos (GDPR) en relación con una violación de datos descubierta en 2018 que expuso los datos personales de millones de usuarios.

Según el regulador de Irlanda, la violación se remonta a julio de 2017, cuando Facebook implementó una función de carga de videos que incluía una función de “Ver como”.

Esta función permitía a los usuarios ver su propia página de Facebook como lo haría otro usuario.

Los atacantes cibernéticos explotaron una vulnerabilidad en la función “Ver como” de Facebook, que les permitió invocar el cargador de videos junto con la función “Compositor de Cumpleaños Feliz” de Facebook.

El cargador de videos generó un token de usuario que dio a los atacantes acceso completo al perfil de Facebook de otro usuario.

Según la DPC, los atacantes utilizaron el token robado para explotar funciones similares en otras cuentas, obteniendo acceso a múltiples perfiles de usuario y sus datos asociados.

La agencia agregó que entre el 14 de septiembre y el 28 de septiembre de 2018, personas no autorizadas utilizaron scripts para explotar esta vulnerabilidad y obtuvieron acceso a aproximadamente 29 millones de cuentas de Facebook a nivel mundial, incluyendo 3 millones dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE).

Los datos personales comprometidos incluían el nombre completo del usuario, dirección de correo electrónico, número de teléfono, ubicación, lugar de trabajo, fecha de nacimiento, religión, género, publicaciones en líneas de tiempo, grupos de los que el usuario era miembro y los datos personales de sus hijos.

Poco después de descubrir el error en su función “Ver como”, el personal de seguridad de Facebook tomó medidas correctivas inmediatas y eliminó la funcionalidad.

La DPC irlandesa identificó específicamente las siguientes violaciones del GDPR en relación con la violación de datos de 2018:

• Artículo 33(3): Falta de proporcionar detalles de notificación de la violación–> €8 millones de multa
• Artículo 33(5): Documentación inadecuada de los hechos y remedios de la violación–> €3 millones de multa
• Artículo 25(1): Falta de integrar la protección de datos en el diseño del sistema–> €130 millones de multa
• Artículo 25(2): Falta de asegurar que solo se procesen por defecto los datos personales que son necesarios para fines específicos–> €110 millones de multa **

“Esta acción de cumplimiento destaca cómo la falta de incorporar requisitos de protección de datos a lo largo del ciclo de diseño y desarrollo puede exponer a las personas a riesgos y daños muy graves, incluyendo un riesgo para los derechos y libertades fundamentales de las personas”, comentó Graham Doyle, el Comisionado Adjunto de la DPC.

“Al permitir la exposición no autorizada de información del perfil, las vulnerabilidades detrás de esta violación causaron un grave riesgo de uso indebido de este tipo de datos.”

En respuesta al anuncio de la DPC, un portavoz de Meta, en una declaración a BleepingComputer, afirmó: “Esta decisión se relaciona con un incidente de 2018. Tomamos medidas inmediatas para solucionar el problema tan pronto como se identificó, y notificamos proactivamente a las personas afectadas, así como a la Comisión de Protección de Datos de Irlanda. Tenemos una amplia gama de medidas líderes en la industria para proteger a las personas en nuestras plataformas.