Meta je kažnjena od Irske komisije za zaštitu podataka (DPC) s 265 miliona eura zbog masovnog curenja podataka na Facebooku 2021. godine, čime su otkrivene informacije stotina miliona korisnika diljem svijeta.
Time je DPC-ova istraga o potencijalnim kršenjima GDPR-a od strane Mete, pokrenuta 14. aprila 2021., nakon objave podataka 533 miliona korisnika Facebooka na hakerskom forumu.
Izloženi podaci uključivali su osobne podatke, kao što su brojevi mobitela, Facebook ID-ovi, imena, spolovi, lokacije, statusi veza, zanimanja, datumi rođenja i adrese e-pošte.
Svi ovi podaci podijeljeni su na poznatom hakerskom forumu, omogućujući akterima prijetnji da ih koriste za ciljane napade.
Facebook je u to vrijeme rekao da su akteri prijetnji prikupili podatke iskorištavajući grešku u alatu “Contact importer” kako bi povezali telefonske brojeve s Facebook ID-om, a zatim scrapirali ostatak informacija kako bi napravili profil za korisnika.
Platforma je rekla da su popravili grešku 2019., a da su podaci prikupljeni prije toga.
Istraga DPC-a zaključila je da je Meta (tada Facebook) prekršila članove 25(1) i 25(2) GDPR-a, sažeto kako slijedi:
- stav 1. – Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, te integrira potrebne zaštitne mjere u obradu kako bi ispunio zahtjeve ove Uredbe i zaštitio prava ispitanika.
25(2) – Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao da se prema zadanim postavkama obrađuju samo osobni podaci potrebni za svaku svrhu obrade. Konkretno, takve mjere osiguravaju da osobni podaci prema zadanim postavkama nisu dostupni neograničenom broju fizičkih osoba bez intervencije pojedinca.
“Postojao je sveobuhvatan istražni postupak, uključujući suradnju sa svim ostalim nadzornim tijelima za zaštitu podataka unutar EU-a”, stoji u priopćenju DPC-a.
Scraperi podataka automatizirani su roboti koji iskorištavaju otvorene mrežne API-je platformi koje drže korisničke podatke, kao što je Facebook, kako bi izvukli javno dostupne informacije i stvorili ogromne baze podataka korisničkih profila.
Iako nije uključeno hakiranje, skupovi podataka prikupljeni scraperima mogu se kombinirati s podacima s više mjesta, stvarajući potpune profile korisnika, čime njihovo praćenje od marketinških stručnjaka ili ciljanje od aktera prijetnji postaje puno učinkovitije.
Međutim, u Metinom slučaju, akteri prijetnje iskoristili su grešku u Contact Importer-u na Facebooku i Instagramu kako bi povezali telefonske brojeve s ovim javno izdvojenim informacijama, što im je omogućilo stvaranje profila koji sadrže privatne i javne informacije.
Scraping je protiv pravila većine online platformi, ali provedba tih pravila je tehnički komplicirana, kao što je nedavno istaknuto s TikTokom i WeChatom.
LinkedIn je tužio na sudu kako bi spriječio skrapiranje podataka na platformi, osiguravši zabranu protiv legalnih operatera scrapera i spriječivši ih da koriste podatke koje su već prikupili na ovaj način.
DPC se smatra predvodnikom usklađivanja s GDPR-om u EU-u zbog mnogih tehnoloških firmi koje posluju iz Irske, tako da će njegova odluka sigurno stvoriti turbulencije za druge voditelje obrade velikih podataka, prisiljavajući ih da ponovno procijene svoje anti-scrap mehanizme.
IZVOR: Bleeping Computer