鞭牛士报道,12月17日消息,据外电报道,Meta 因 Facebook 安全漏洞被欧盟罚款 2.51 亿欧元(约合 2.63 亿美元),该漏洞影响了数百万用户,该公司于2018 年 9 月披露了这一情况。
爱尔兰数据保护委员会 (DPC) 于周二为执行欧盟的《通用数据保护条例》(GDPR) 而对 Meta 开出的这项罚单,远非该制度五年多前生效以来Meta 受到的最大一笔 GDPR 罚单。不过,这笔罚单值得注意,因为这是针对单一安全事件的严厉处罚。
此次泄密事件可以追溯到 2017 年 7 月,当时 Facebook 推出了一项视频上传功能,其中包括「以...方式查看」功能,该功能可让用户以其他用户的方式查看自己的 Facebook 页面。
设计中的一个漏洞允许恶意行为者调用上传器以及 Facebook 的生日快乐作曲家功能来生成用户令牌,从而让他们可以完全访问该用户的 Facebook 个人资料。
根据 DPC 的说法,他们随后可以使用该令牌在其他帐户上利用相同的功能组合,从而获得对多个用户的个人资料和数据的未经授权的访问权。
该监管机构表示,2018 年 9 月 14 日至 9 月 28 日期间,未经授权的人员使用脚本利用此漏洞登录了全球约 2900 万个 Facebook 账户,其中约 300 万个账户位于欧盟/欧洲经济区。
此次泄露事件影响的个人数据包括 Facebook 用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教、性别、时间线上的帖子、他们所属的群组以及儿童的个人数据。
受影响的个人数据范围广泛可能会影响罚款的数额。
两项执法决定
周二,爱尔兰监管机构就 2018 年事件展开的两项调查发布了最终决定:一项决定涉及 Meta 的违规通知,因为 GDPR 要求及时全面地报告重大安全事件,而另一项决定涉及设计和默认的数据保护规则。
在这两起案件中,DPC 均认定 Meta 侵犯了欧盟的 GDPR。
全部制裁内容如下:
Meta 因第一项裁决被罚款 1100 万欧元,DPC 发现该公司的违规通知未包含其“可以且应该”提供的所有信息。它还指出,该公司没有完整记录违规事实以及为补救问题而采取的措施。
除此之外,Meta 还因第二项裁决被罚款 2.4 亿欧元,DPC 在该裁决中确认该公司在设计上违反了 GDPR 的数据保护原则,因为它没有采取适当的措施保护人们的数据免遭意外处理。
DPC 副专员 Graham Doyle 在一份声明中表示:“这一执法行动凸显了在整个设计和开发周期中未能纳入数据保护要求,可能会使个人面临非常严重的风险和危害,包括对个人基本权利和自由的风险。
“Facebook 个人资料可能包含有关宗教或政治信仰、性生活或性取向等问题的信息,而且通常确实如此,以及用户可能只希望在特定情况下披露的类似问题。通过允许未经授权暴露个人资料信息,此次泄露背后的漏洞导致了滥用此类数据的严重风险。”
在 DPC 两位委员德斯·霍根博士和戴尔·桑德兰(今年早些时候接替委员海伦·迪克森)的领导下,该裁决的另一个值得注意的方面是,同行当局并未对爱尔兰的决定草案提出异议。
该监管机构在一份新闻稿中写道:“DPC 感谢本案中欧盟/欧洲经济区监管机构的合作与协助。”
批评迪克森领导下的 DPC 的人指责监管机构经常对 Meta 和其他科技巨头执行 GDPR 不力。当时,监管机构针对大型科技公司的许多决策草案都遭到同行的质疑。针对 Meta 的许多执法行动都涉及漫长的争议程序——其中一些需要欧洲数据保护委员会做出具有约束力的决定才能结束这一过程。
因此值得注意的是,DPC 称针对 Meta 的这项执法行动已于 2024 年 7 月作为决议草案提交给 GDPR 合作机制,并且安然无恙地通过了。
当被问及对处罚的回应时,Meta 发言人 Emily Westcott 通过电子邮件发来一份声明,公司写道:“这一决定与 2018 年发生的一起事件有关。我们在发现问题后立即采取行动解决问题,并主动通知受影响的用户以及爱尔兰数据保护委员会。我们采取了一系列行业领先的措施来保护我们平台上的用户。”
去年 9 月,DPC 针对 Meta 于 2019 年发生的安全漏洞做出了另一项裁决。该公司因“数亿”用户密码以明文形式存储在其服务器上而被罚款 9100 万欧元。