Meta condamné à 251 millions d'euros pour une violation de données en 2018 ayant affecté 29 millions de comptes Facebook

Meta, la société mère de Facebook, a été condamnée à 251 millions d’euros (environ 263 millions de dollars) mardi par la Commission irlandaise de protection des données (DPC) pour avoir violé le Règlement général sur la protection des données (RGPD) en lien avec une violation de données découverte en 2018 qui a exposé les données personnelles de millions d’utilisateurs.

Selon le régulateur irlandais, la violation remonte à juillet 2017, lorsque Facebook a déployé une fonction de téléchargement de vidéos qui incluait une fonctionnalité « Voir en tant que ».

Cette fonctionnalité permettait aux utilisateurs de voir leur propre page Facebook comme un autre utilisateur le ferait.

Les cyberattaquants ont exploité une vulnérabilité dans la fonctionnalité « Voir en tant que » de Facebook, ce qui leur a permis d’invoquer le téléchargeur de vidéos en conjonction avec la fonctionnalité « Compositeur d’anniversaire » de Facebook.

Le téléchargeur de vidéos a généré un jeton utilisateur qui a donné aux attaquants un accès complet au profil Facebook de l’autre utilisateur.

Selon la DPC, les attaquants ont utilisé le jeton volé pour exploiter des fonctionnalités similaires sur d’autres comptes, accédant à plusieurs profils d’utilisateurs et à leurs données associées.

L’agence a ajouté qu’entre le 14 septembre et le 28 septembre 2018, des personnes non autorisées ont utilisé des scripts pour exploiter cette vulnérabilité et ont accédé à environ 29 millions de comptes Facebook dans le monde, dont 3 millions au sein de l’Union européenne (UE) et de l’Espace économique européen (EEE).

Les données personnelles compromises comprenaient le nom complet de l’utilisateur, l’adresse e-mail, le numéro de téléphone, la localisation, le lieu de travail, la date de naissance, la religion, le sexe, les publications sur les timelines, les groupes dont l’utilisateur était membre et les données personnelles de ses enfants.

Peu après avoir découvert le bug dans sa fonctionnalité « Voir en tant que », le personnel de sécurité de Facebook a pris des mesures correctives immédiates et a supprimé la fonctionnalité.

La DPC a spécifiquement identifié les violations du RGPD suivantes en lien avec la violation de données de 2018 :

• Article 33(3) : Manquement à fournir les détails de notification de violation –> 8 millions d’euros d’amende
• Article 33(5) : Documentation inadéquate des faits de violation et des remèdes –> 3 millions d’euros d’amende
• Article 25(1) : Manquement à intégrer la protection des données dans la conception du système –> 130 millions d’euros d’amende
• Article 25(2) : Manquement à garantir que seules les données personnelles nécessaires à des fins spécifiques sont traitées par défaut –> 110 millions d’euros d’amende **

« Cette action d’application souligne comment le manquement à intégrer les exigences de protection des données tout au long du cycle de conception et de développement peut exposer les individus à des risques et des préjudices très graves, y compris un risque pour les droits et libertés fondamentaux des individus », a commenté Graham Doyle, le commissaire adjoint de la DPC.

« En permettant l’exposition non autorisée d’informations de profil, les vulnérabilités derrière cette violation ont causé un grave risque d’utilisation abusive de ces types de données. »

En réponse à l’annonce de la DPC, un porte-parole de Meta, dans une déclaration à BleepingComputer, a déclaré : « Cette décision concerne un incident de 2018. Nous avons pris des mesures immédiates pour résoudre le problème dès qu’il a été identifié, et nous avons informé proactivement les personnes concernées, ainsi que la Commission irlandaise de protection des données. Nous avons mis en place une large gamme de mesures de pointe pour protéger les personnes sur nos plateformes.