Meta因脸书(Facebook)平台于2018年披露的一起影响数百万用户的安全漏洞事件,在欧洲联盟被罚款2.51亿欧元(约合2.63亿美元)。这一罚款由爱尔兰数据保护委员会(DPC)根据欧盟的《通用数据保护条例》(GDPR)于周二开出。尽管这不是Meta自GDPR生效五年多来收到的最大一笔罚款,但值得注意的是,这是针对单一安全事件所开出的重大处罚。
该漏洞起源于2017年7月脸书推出的一个视频上传功能,该功能中的“以……的身份查看”特性设计存在缺陷,使得恶意行为者能够结合上传器与“生日祝福作曲家”功能,生成用户令牌,从而完全访问该用户的脸书个人资料。DPC指出,利用这一令牌,未经授权的人员可以在其他账户上重复利用相同的功能组合,访问多个用户的个人资料和数据。
在2018年9月14日至9月28日期间,全球范围内约有2900万个脸书账户被未经授权的人员利用脚本通过这一漏洞登录,其中约300万个账户位于欧盟/欧洲经济区。泄露的个人数据包括全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教信仰、性别、时间线帖子、所在群组以及儿童的个人数据。受影响个人数据的广泛范围可能影响了罚款的金额。
两份执法决定详情
针对这一事件,DPC启动了两项调查,并于周二发布了最终决定。第一项决定涉及Meta的违规通知,因为GDPR要求公司及时且全面地报告重大安全事件。DPC发现Meta的违规通知并未包含其应提供的全部信息,且未全面记录违规事实及采取的补救措施,因此对其罚款1100万欧元。
第二项决定则关乎设计和默认情况下的数据保护规则。DPC确认Meta违反了GDPR中数据保护设计的原则,因其未采取适当措施保护用户数据免受意外处理,故对其罚款2.4亿欧元。DPC副专员格雷厄姆·多伊尔在声明中表示,此次执法行动突显了在设计和开发周期中融入数据保护要求的重要性,否则个人将面临严重的风险和伤害,包括对基本权利和自由构成的威胁。
值得注意的是,在DPC现任专员德斯·霍根博士和戴尔·桑德兰的裁决中,爱尔兰的决策草案并未受到同行监管机构的反对。DPC感谢同行欧盟/欧洲经济区监管机构在此案中的合作与协助。
此前,DPC曾因对Meta和其他科技巨头在执行GDPR方面的不力而受到批评。然而,此次针对Meta的执法行动(据称已于2024年7月作为草案决定提交给GDPR合作机制)已经顺利获得通过。
Meta发言人艾米丽·韦斯科特在回应此次处罚时表示,这一决定与2018年发生的事件有关。公司发现问题后立即采取了行动,并主动告知了受影响的人员以及爱尔兰数据保护委员会。Meta已采取了一系列行业领先的措施来保护平台用户的安全。
此外,早在9月,DPC还因Meta在服务器上明文存储“数亿”用户的密码而对其罚款9100万欧元。
本文由网安加社区编译,原文链接:https://techcrunch.com/2024/12/17/meta-fined-263m-over-2018-security-breach-that-affected-3m-eu-users/