Meta multata di 251 milioni di euro per la violazione dei dati del 2018 che ha colpito 29 milioni di account Facebook

Meta, la società madre di Facebook, è stata multata di 251 milioni di euro (circa 263 milioni di dollari) martedì dalla Commissione irlandese per la protezione dei dati (DPC) per violazione del Regolamento generale sulla protezione dei dati (GDPR) in relazione a una violazione dei dati scoperta nel 2018 che ha esposto i dati personali di milioni di utenti.

Secondo il regolatore irlandese, la violazione risale a luglio 2017, quando Facebook ha implementato una funzione di caricamento video che includeva una funzione “Visualizza come”.

Questa funzione consentiva agli utenti di visualizzare la propria pagina Facebook come avrebbe fatto un altro utente.

Gli attaccanti informatici hanno sfruttato una vulnerabilità nella funzione “Visualizza come” di Facebook, che ha permesso loro di invocare il caricatore video insieme alla funzione “Compositore di compleanno felice” di Facebook.

Il caricatore video generava un token utente che dava agli attaccanti accesso completo al profilo Facebook dell’altro utente.

Secondo la DPC, gli attaccanti hanno utilizzato il token rubato per sfruttare funzioni simili su altri account, ottenendo accesso a più profili utente e ai loro dati associati.

L’agenzia ha aggiunto che tra il 14 settembre e il 28 settembre 2018, persone non autorizzate hanno utilizzato script per sfruttare questa vulnerabilità e hanno ottenuto accesso a circa 29 milioni di account Facebook a livello globale, inclusi 3 milioni all’interno dell’Unione Europea (UE) e dello Spazio economico europeo (SEE).

I dati personali compromessi includevano il nome completo dell’utente, indirizzo email, numero di telefono, posizione, luogo di lavoro, data di nascita, religione, genere, post sulle timeline, gruppi di cui l’utente era membro e i dati personali dei loro figli.

Poco dopo aver scoperto il bug nella sua funzione “Visualizza come”, il personale di sicurezza di Facebook ha preso immediatamente misure correttive e ha rimosso la funzionalità.

La DPC irlandese ha specificamente identificato le seguenti violazioni del GDPR in relazione alla violazione dei dati del 2018:

• Articolo 33(3): Mancata fornitura di dettagli sulla notifica della violazione–> 8 milioni di euro di multa
• Articolo 33(5): Documentazione inadeguata dei fatti e dei rimedi della violazione–> 3 milioni di euro di multa
• Articolo 25(1): Mancata integrazione della protezione dei dati nella progettazione del sistema–> 130 milioni di euro di multa
• Articolo 25(2): Mancata garanzia che solo i dati personali necessari per scopi specifici siano trattati per impostazione predefinita–> 110 milioni di euro di multa **

“Questa azione di enforcement evidenzia come la mancata integrazione dei requisiti di protezione dei dati durante il ciclo di progettazione e sviluppo possa esporre gli individui a rischi e danni molto gravi, incluso un rischio per i diritti e le libertà fondamentali degli individui,” ha commentato Graham Doyle, Vice Commissario della DPC.

“Consentendo l’esposizione non autorizzata delle informazioni del profilo, le vulnerabilità dietro questa violazione hanno causato un grave rischio di uso improprio di questi tipi di dati.”

In risposta all’annuncio della DPC, un portavoce di Meta, in una dichiarazione a BleepingComputer, ha affermato: “Questa decisione riguarda un incidente del 2018. Abbiamo preso immediatamente provvedimenti per risolvere il problema non appena è stato identificato e abbiamo informato proattivamente le persone colpite, così come la Commissione irlandese per la protezione dei dati. Abbiamo una vasta gamma di misure leader del settore in atto per proteggere le persone sulle nostre piattaforme.”