2018年のデータ侵害によりMetaが2億5100万ユーロの罰金を科される、29百万のFacebookアカウントに影響

Meta、Facebookの親会社は、2018年に発見されたデータ侵害に関連して、一般データ保護規則（GDPR）を違反したとして、アイルランドのデータ保護委員会（DPC）から2億5100万ユーロ（約2億6300万ドル）の罰金を科されました。

アイルランドの規制当局によると、この侵害は2017年7月に遡り、Facebookが「他のユーザーとして表示」機能を含む動画アップロード機能を展開した際に発生しました。

この機能により、ユーザーは他のユーザーが自分のFacebookページをどのように見るかを確認できました。

サイバー攻撃者は、Facebookの「他のユーザーとして表示」機能の脆弱性を悪用し、Facebookの「ハッピーバースデー作成者」機能と組み合わせて動画アップローダーを呼び出すことができました。

動画アップローダーは、攻撃者に他のユーザーのFacebookプロフィールへの完全なアクセスを与えるユーザートークンを生成しました。

DPCによると、攻撃者は盗まれたトークンを使用して他のアカウントで同様の機能を悪用し、複数のユーザープロフィールとその関連データにアクセスしました。

この機関は、2018年9月14日から9月28日の間に、無許可の者がスクリプトを使用してこの脆弱性を悪用し、全世界で約2900万のFacebookアカウントにアクセスしたと付け加えました。これには、欧州連合（EU）および欧州経済地域（EEA）内の300万アカウントが含まれます。

侵害された個人データには、ユーザーのフルネーム、メールアドレス、電話番号、所在地、勤務先、誕生日、宗教、性別、タイムラインの投稿、ユーザーがメンバーであるグループ、および子供の個人データが含まれていました。

Facebookは「他のユーザーとして表示」機能のバグを発見した直後に、セキュリティ担当者が即座に是正措置を講じ、機能を削除しました。

アイルランドDPCは、2018年のデータ侵害に関連して以下のGDPR違反を特定しました：

• 第33条第3項： 侵害通知の詳細を提供しなかった→ 800万ユーロの罰金
• 第33条第5項： 侵害の事実と救済措置の文書化が不十分→ 300万ユーロの罰金
• 第25条第1項： システム設計におけるデータ保護の統合に失敗→ 1億3000万ユーロの罰金
• 第25条第2項： 特定の目的に必要な個人データのみがデフォルトで処理されることを保証しなかった→ 1億1000万ユーロの罰金 **

「この執行措置は、設計と開発サイクル全体にデータ保護要件を組み込むことに失敗すると、個人が非常に深刻なリスクや危害にさらされる可能性があることを強調しています。これは、個人の基本的な権利と自由に対するリスクを含みます」と、DPCの副委員長であるグラハム・ドイルはコメントしました。

「プロフィール情報の無許可の露出を許可することで、この侵害の背後にある脆弱性は、これらのデータの誤用の重大なリスクを引き起こしました。」

DPCの発表に応じて、Metaの広報担当者はBleepingComputerへの声明で、「この決定は2018年の事件に関連しています。問題が特定されるとすぐに即座に対処し、影響を受けた人々やアイルランドデータ保護委員会に積極的に通知しました。私たちは、プラットフォーム全体で人々を保護するための業界をリードするさまざまな対策を講じています。」と述べました。