Meta была оштрафована на 251 миллион евро (около 263 миллионов долларов) в Европейском Союзе за нарушение безопасности Facebook, от которого пострадали миллионы пользователей, о чем компания сообщила еще в сентябре 2018 года.
Наказание, вынесенное во вторник Комиссией по защите данных Ирландии (DPC), обеспечивающей соблюдение Общего регламента защиты данных блока (GDPR), далеко не самый крупный штраф GDPR, с которым столкнулась Мета с тех пор, как режим вступил в силу более пяти лет назад, но примечательно тем, что является существенной санкцией за один инцидент безопасности.
Нарушение, о котором идет речь, датируется июлем 2017 года, когда Facebook, как тогда еще называлась компания, внедрил функцию загрузки видео, которая включала функцию «Просмотреть как», которая позволяла пользователю видеть свою страницу Facebook так, как ее увидят другие пользователи. другой пользователь.
Ошибка в дизайне позволяла пользователям использовать эту функцию для вызова средства загрузки видео в сочетании с функцией Facebook «Happy Birthday Composer» для создания полностью разрешенного токена пользователя, который давал им полный доступ к профилю Facebook этого другого пользователя. Затем они могли использовать токен для использования той же комбинации функций в других учетных записях — получения несанкционированного доступа к профилям и данным нескольких пользователей для каждого ЦОД.
В период с 14 по 28 сентября 2018 года наблюдательный орган заявил, что неавторизованные лица использовали сценарии для использования этой уязвимости Facebook и получили возможность входить в систему в качестве владельца учетной записи примерно к 29 миллионам учетных записей Facebook по всему миру, около 3 миллионов из которых базировались в ЕС. /Европейская экономическая зона, что означает, что они подпадают под правоприменительные полномочия DPC.
Категории персональных данных, затронутых взломом, включали полные имена пользователей Facebook; адреса электронной почты; номера телефонов; расположение; места работы; даты рождения; религия; пол; публикации в ленте; группы, членами которых они были; и личные данные детей.
Широкий спектр затронутых персональных данных, вероятно, повлиял на размер штрафа.
Два исполнительных решения
Во вторник ирландский регулятор опубликовал окончательное решение по двум расследованиям, которые он начал в связи с инцидентом 2018 года: одно решение касается уведомления Meta о нарушении, поскольку GDPR требует быстрого и полного информирования о крупных инцидентах безопасности, а второе касается правил защиты данных по замыслу и по умолчанию. .
В обоих случаях DPC обнаружил, что Meta нарушила GDPR блока.
Полная санкция выглядит следующим образом: Meta была оштрафована на 11 миллионов евро в связи со своим первым решением, при этом DPC установил, что уведомление Meta о нарушении не включало всю информацию, которую она «могла и должна была иметь»; компания также не задокументировала в полной мере факты нарушения и шаги, предпринятые для устранения проблемы.
Вдобавок ко всему, Meta была оштрафована на 240 миллионов евро в связи со вторым решением, в котором DPC подтвердил, что компания намеренно нарушила принципы GDPR по защите данных, поскольку у нее не было соответствующих мер для защиты данных людей от непреднамеренной обработки.
Комментируя свое заявление, заместитель комиссара DPC Грэм Дойл сказал: «Эти принудительные меры подчеркивают, как неспособность внедрить требования по защите данных на протяжении всего цикла проектирования и разработки может подвергнуть людей очень серьезным рискам и вреду, включая риск для основных прав и свободы личности.
«Профили Facebook могут содержать и часто содержат информацию о таких вопросах, как религиозные или политические убеждения, сексуальная жизнь или ориентация, а также о подобных вопросах, которые пользователь может пожелать раскрыть только в определенных обстоятельствах. Допустив несанкционированное раскрытие информации профиля, уязвимости, лежащие в основе этого нарушения, создали серьезный риск неправильного использования этих типов данных».
Еще одним примечательным элементом правоприменения под руководством двух комиссаров DPC, доктора Деса Хогана и Дейла Сандерленда, которые в начале этого года сменили (ранее единственного) члена комиссии Хелен Диксон, является то, что коллегиальные органы власти не высказали возражений против проекта решения Ирландии.
«ЦОД благодарен за сотрудничество и помощь своим коллегам из надзорных органов ЕС/ЕЭЗ в этом случае», — написал регулятор в пресс-релизе.
Критики DPC при Диксоне обвинили регулятор в регулярном недостаточном соблюдении GDPR в отношении Meta и других технологических гигантов. И многие из его проектов решений по крупным технологиям в то время оспаривались его коллегами. Ряд судебных разбирательств против Meta, в частности, повлекли за собой очень длительные разбирательства по спорам, причем некоторые из них требовали обязательных решений Европейского совета по защите данных для завершения процесса.
Примечательно, что последние меры против Meta, которые, по словам DPC, были представлены в качестве проекта решения в механизм сотрудничества GDPR в июле 2024 года, остались невредимыми.
Чтобы получить ответ на штраф, пресс-секретарь Meta Эмили Уэсткотт отправила по электронной почте заявление, в котором компания написала: «Это решение связано с инцидентом, произошедшим в 2018 году. Мы приняли немедленные меры для устранения проблемы, как только она была обнаружена, и мы заранее проинформировали пострадавших людей, а также Ирландскую комиссию по защите данных. У нас есть широкий спектр передовых мер для защиты людей на наших платформах».
Еще в сентябре ЦОД вынес еще одно решение против Meta в отношении нарушения безопасности в 2019 году — в этом случае компания была оштрафована на 91 миллион евро в связи с инцидентом, в котором были сохранены «сотни миллионов» паролей пользователей. в открытом виде на своих серверах.
10 крупнейших штрафов GDPR для крупных технологических компаний
