Meta Multada em €251M Por Violação de Dados de 2018 Que Afetou 29M de Contas do Facebook

Meta, a empresa-mãe do Facebook, foi multada em €251 milhões (cerca de $263 milhões) na terça-feira pela Comissão de Proteção de Dados da Irlanda (DPC) por violar o Regulamento Geral sobre a Proteção de Dados (GDPR) em conexão com uma violação de dados descoberta em 2018 que expôs os dados pessoais de milhões de usuários.

De acordo com o regulador da Irlanda, a violação remonta a julho de 2017, quando o Facebook implementou uma função de upload de vídeo que incluía um recurso “Ver Como”.

Esse recurso permitia que os usuários visualizassem sua própria página do Facebook como outro usuário faria.

Os atacantes cibernéticos exploraram uma vulnerabilidade no recurso “Ver Como” do Facebook, que lhes permitiu invocar o carregador de vídeo em conjunto com o recurso “Compositor de Aniversário Feliz” do Facebook.

O carregador de vídeo gerou um token de usuário que deu aos atacantes acesso total ao perfil do Facebook do outro usuário.

De acordo com a DPC, os atacantes usaram o token roubado para explorar recursos semelhantes em outras contas, ganhando acesso a múltiplos perfis de usuários e seus dados associados.

A agência acrescentou que entre 14 de setembro e 28 de setembro de 2018, pessoas não autorizadas usaram scripts para explorar essa vulnerabilidade e ganharam acesso a aproximadamente 29 milhões de contas do Facebook globalmente, incluindo 3 milhões dentro da União Europeia (UE) e do Espaço Econômico Europeu (EEE).

Os dados pessoais comprometidos incluíam o nome completo do usuário, endereço de e-mail, número de telefone, localização, local de trabalho, data de nascimento, religião, gênero, postagens em linhas do tempo, grupos dos quais o usuário era membro e os dados pessoais de seus filhos.

Pouco depois de descobrir o bug em seu recurso “Ver Como”, a equipe de segurança do Facebook tomou medidas corretivas imediatas e removeu a funcionalidade.

A DPC identificou especificamente as seguintes violações do GDPR em conexão com a violação de dados de 2018:

• Artigo 33(3): Falha em fornecer detalhes de notificação de violação–> €8 milhões de multa
• Artigo 33(5): Documentação inadequada dos fatos e remédios da violação–> €3 milhões de multa
• Artigo 25(1): Falha em integrar a proteção de dados no design do sistema–> €130 milhões de multa
• Artigo 25(2): Falha em garantir que apenas os dados pessoais necessários para fins específicos sejam processados por padrão–> €110 milhões de multa **

“Esta ação de execução destaca como a falha em incorporar requisitos de proteção de dados ao longo do ciclo de design e desenvolvimento pode expor indivíduos a riscos e danos muito sérios, incluindo um risco aos direitos e liberdades fundamentais dos indivíduos”, comentou Graham Doyle, o Comissário Adjunto da DPC.

“Permitindo a exposição não autorizada de informações de perfil, as vulnerabilidades por trás dessa violação causaram um grave risco de uso indevido desses tipos de dados.”

Em resposta ao anúncio da DPC, um porta-voz da Meta, em uma declaração ao BleepingComputer, afirmou: “Esta decisão se relaciona a um incidente de 2018. Tomamos medidas imediatas para corrigir o problema assim que foi identificado, e informamos proativamente as pessoas afetadas, bem como a Comissão de Proteção de Dados da Irlanda. Temos uma ampla gama de medidas líderes da indústria em vigor para proteger as pessoas em nossas plataformas.