产品漏洞被利用致大量用户数据泄露,这家巨头被罚超19亿元

摘要:Meta(Facebook)在2018年披露了一起安全事件,攻击者利用产品功能设计漏洞,抓取了约2900万个Facebook账号的个人信息,其中约300万个账号位于欧盟;爱尔兰数据保护委员会认为,Meta违反了GDPR的数据保护原则,未能采取适当措施防止用户数

Meta(Facebook)在2018年披露了一起安全事件,攻击者利用产品功能设计漏洞,抓取了约2900万个Facebook账号的个人信息,其中约300万个账号位于欧盟;爱尔兰数据保护委员会认为,Meta违反了GDPR的数据保护原则,未能采取适当措施防止用户数据遭到非预期处理,决定施以巨额罚款。

前情回顾·全球网络安全执法

安全内参12月18日消息,Meta因2018年披露的一起Facebook安全漏洞,被欧盟罚款2.51亿欧元(约合人民币19.21亿元)。

12月17日,爱尔兰数据保护委员会(DPC)依据欧盟《通用数据保护条例》(GDPR)对Meta开出了这张罚单。尽管这不是自GDPR生效5年多以来Meta遭受的最大罚款,但对于一项单一安全事件而言,这仍是一项重大的制裁。

这起安全漏洞可追溯至2017年7月。当时,Facebook推出了一项视频上传功能,其中包含一个名为“以…方式查看”(View as)的选项,让用户能够查看自己的Facebook页面在其他用户眼中的显示效果。

DPC指出,该功能设计存在一个漏洞,让恶意行为者能够利用视频上传工具与Facebook的“生日祝福编辑器”功能组合使用,从而生成一个用户令牌。该令牌允许攻击者完全访问目标用户的Facebook个人资料。随后,这些攻击者可以使用相同的功能组合攻击其他账户,从而未经授权访问多个用户的个人资料和数据。

根据DPC的说法,在2018年9月14日至9月28日期间,攻击者利用脚本对约2900万个Facebook账户发起攻击,其中约300万个账户位于欧盟/欧洲经济区范围内。

此次事件中,受影响的个人数据包括Facebook用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教信仰、性别、时间线上的帖子、加入的群组以及与儿童相关的个人数据。

受影响数据范围之广,可能是罚款金额如此高的主要原因之一。

两项执法决定

12月17日,爱尔兰监管机构对2018年事件启动的两项调查做出了最终裁决:一项决定涉及Meta在安全事件发生后发布的违规通知,因GDPR要求及时、全面地报告重大安全事件;另一项决定涉及数据保护的设计和默认设置规则。在这两项调查中,DPC均认定Meta违反了GDPR。

具体罚款如下:

第一项决定:Meta被罚款1100万欧元。DPC发现,Meta的违规通知未包含其“能够且应当提供”的所有信息,也未完全记录事件的事实及为解决问题采取的措施。第二项决定:Meta被罚款2.4亿欧元。DPC确认,Meta在产品设计上违反了GDPR的数据保护原则,未能采取适当措施防止用户数据遭到非预期处理。

DPC副专员Graham Doyle在声明中评论道:“这次执法行动突显了在设计和开发周期中未能嵌入数据保护要求,可能导致个人面临非常严重的风险和伤害,包括对个人基本权利和自由的威胁。”

他补充道:“Facebook个人资料通常包含用户希望仅在特定情况下披露的信息,例如宗教或政治信仰、性取向等。因未授权的个人资料信息暴露,此次漏洞导致了此类数据被滥用的严重风险。”

DPC的两位专员Des Hogan博士和Dale Sunderland今年接替前任专员Helen Dixon主持此次裁决。值得注意的是,其他欧盟/欧洲经济区监管机构对爱尔兰的草案决定未提出任何异议。

这家监管机构在新闻稿中写道:“DPC感谢其欧盟/欧洲经济区同行监管机构在本案中提供的合作与支持。”

在Dixon任期内,DPC曾因对Meta及其他科技巨头的GDPR执法力度不足而遭受批评。当时,针对大型科技公司的多项草案决定常遭同行机构质疑,其中一些针对Meta的执法案件耗时较长,甚至需要欧盟数据保护委员会作出具有约束力的决定才能最终解决。

因此,这次针对Meta的执法行动未遭到任何异议显得尤为引人注目。据DPC表示,其草案决定已于2024年7月提交GDPR合作机制。

针对这一罚款,Meta发言人Emily Westcott在一份声明中表示:“这一决定涉及2018年的一场事件。问题一经发现,我们立即采取了行动进行修复,并主动通知了受影响的用户以及爱尔兰数据保护委员会。我们已经采取了多种业界领先措施来保护平台上的用户。”

今年9月,DPC还针对Meta 2019年的一起安全漏洞作出裁决。由于当时“数亿”用户密码以明文形式存储在服务器上,Meta被罚款9100万欧元。

参考资料:techcrunch.com

来源:安全内参

相关推荐