Meta оштрафована на €251 млн за утечку данных 2018 года, затронувшую 29 млн аккаунтов Facebook

Meta, материнская компания Facebook, была оштрафована на €251 миллион (около $263 миллионов) во вторник Ирландской комиссией по защите данных (DPC) за нарушение Общего регламента по защите данных (GDPR) в связи с утечкой данных, обнаруженной в 2018 году, которая раскрыла личные данные миллионов пользователей.

Согласно данным регулятора Ирландии, утечка датируется июлем 2017 года, когда Facebook внедрила функцию загрузки видео, которая включала функцию «Просмотреть как».

Эта функция позволяла пользователям просматривать свою собственную страницу Facebook так, как это сделал бы другой пользователь.

Кибератакующие использовали уязвимость в функции «Просмотреть как» Facebook, что позволяло им вызывать загрузчик видео в сочетании с функцией «Композитор поздравлений с днем рождения» Facebook.

Загрузчик видео генерировал токен пользователя, который предоставлял атакующим полный доступ к профилю другого пользователя Facebook.

По данным DPC, атакующие использовали украденный токен для эксплуатации аналогичных функций на других аккаунтах, получая доступ к нескольким профилям пользователей и их связанным данным.

Агентство добавило, что с 14 по 28 сентября 2018 года несанкционированные лица использовали скрипты для эксплуатации этой уязвимости и получили доступ к примерно 29 миллионам аккаунтов Facebook по всему миру, включая 3 миллиона в Европейском Союзе (ЕС) и Европейской экономической зоне (ЕЭЗ).

Скомпрометированные личные данные включали полное имя пользователя, адрес электронной почты, номер телефона, местоположение, место работы, дату рождения, религию, пол, публикации на временных шкалах, группы, членом которых был пользователь, и личные данные их детей.

Сразу после обнаружения ошибки в своей функции «Просмотреть как» сотрудники безопасности Facebook предприняли немедленные корректирующие действия и удалили эту функциональность.

Ирландская DPC конкретно выявила следующие нарушения GDPR в связи с утечкой данных 2018 года:

• Статья 33(3): Невозможность предоставить детали уведомления о нарушении –> €8 миллионов штраф
• Статья 33(5): Неадекватная документация фактов нарушения и мер –> €3 миллиона штраф
• Статья 25(1): Невозможность интегрировать защиту данных в проектирование системы –> €130 миллионов штраф
• Статья 25(2): Невозможность гарантировать, что обрабатываются только личные данные, необходимые для конкретных целей по умолчанию –> €110 миллионов штраф **

«Это действие по обеспечению соблюдения подчеркивает, как недостаток интеграции требований по защите данных на протяжении всего цикла проектирования и разработки может подвергнуть людей очень серьезным рискам и вреду, включая риск для основных прав и свобод личности», - прокомментировал Грэм Дойл, заместитель комиссара DPC.

«Позволяя несанкционированное раскрытие информации профиля, уязвимости, стоящие за этой утечкой, создали серьезный риск неправильного использования этих типов данных.»

В ответ на заявление DPC представитель Meta в заявлении для BleepingComputer заявил: «Это решение связано с инцидентом 2018 года. Мы предприняли немедленные действия для устранения проблемы, как только она была выявлена, и мы проактивно проинформировали пострадавших людей, а также Ирландскую комиссию по защите данных. У нас есть широкий спектр передовых мер для защиты людей на наших платформах.»