Meta因2018年Facebook的安全漏洞被欧盟罚款2.51亿欧元(约合2.63亿美元),这一漏洞影响了数百万用户。
该公司在当年9月披露了这一消息。此次罚款是由爱尔兰的数据保护委员会(DPC)根据欧盟《通用数据保护条例》(GDPR)发出的,虽然不是Meta自该条例生效以来收到的最大罚款,但因其是对单一安全事件的严重处罚而引人注目。
该漏洞追溯至2017年7月,当时Facebook推出了一项视频上传功能,其中包括“查看模式”功能,允许用户以其他用户视角查看自己的Facebook页面。
设计中的一个漏洞使恶意行为者能够利用上传功能与“生日派对创作器”功能结合生成用户令牌,从而完全访问该用户的Facebook资料。他们可以使用令牌在其他账户上执行相同组合的功能,未经授权访问多个用户的资料和数据。从2018年9月14日至9月28日,监管机构表示,未经授权的人使用脚本利用这一漏洞登录了约2900万个Facebook账户,其中约300万个位于欧盟/欧洲经济区。
此次泄露的数据包括Facebook用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教信仰、性别、时间线上的帖子、他们所属的群组以及儿童个人信息。
受影响个人数据的广泛范围可能影响了罚款的金额。
两项执法决定
爱尔兰监管机构在周二发布了对其于2018年事件展开的两项调查的最终决定:一项涉及Meta的安全通报通知,因为GDPR要求对重大安全事件进行及时和全面的报告;另一项涉及设计和默认的数据保护规则。
DPC发现,在两项调查中Meta均违反了欧盟GDPR的规定。
罚款详情如下:
根据第一项决定,Meta被罚款1100万欧元,DPC认为公司的安全通报通知未包含“应该包含的所有信息”。
此外,公司未能充分记录漏洞事实及采取的补救措施。另外一项决定中,Meta被罚款2.4亿欧元,DPC确认该公司违反了GDPR中的设计和默认数据保护原则,因为它没有采取适当措施保护个人信息免受意外处理。
DPC副主任格拉汉姆·多伊尔在声明中表示:“此次执法行动突显了在整个设计和开发周期中不嵌入数据保护要求可能会使个人面临严重的风险和伤害,包括个人基本权利和自由的风险。
Facebook资料往往包含宗教或政治信仰、性生活或取向等敏感信息。允许未经授权暴露这些资料信息导致的风险意味着这些类型的数据可能被滥用。”DPC两位委员德斯·霍根博士和戴尔·桑德兰在做出这一判决时没有收到其他欧盟/欧洲经济区监管机构的反对意见。
DPC在新闻稿中写道:“DPC感谢其同行欧盟/欧洲经济区监管机构在这起案件中的合作和支持。
”此前有批评者指责DPC在迪克森担任委员期间对Meta等科技巨头的GDPR执行不力。
当时DPC对大型科技公司的许多初步决定都遭到了同行的质疑。针对Meta的一些执法行动需要经过漫长的争议程序,并需要欧洲数据保护委员会作出最终裁决才能结束程序。因此,在DPC宣布将此次针对Meta的执法行动提交给GDPR合作机制审查后不到一年的时间内未遇到任何反对意见是值得注意的。
当被问及此处罚时,Meta发言人艾米丽·韦斯科特通过电子邮件发表声明称:“此决定涉及的是2018年的事件。
我们一发现这个问题就立即采取行动修复,并主动通知受影响的人以及爱尔兰数据保护委员会。我们已在全球平台上实施了一系列行业领先的安全措施。”DPC此前还于今年9月对Meta因2019年的安全漏洞进行了处罚。
该公司因数十亿用户密码以明文形式存储在其服务器上而被罚款9100万欧元。