Meta a fost sancționată cu o amendă de 251 milioane de euro, de către Comisia Irlandeză pentru Protecția Datelor (DPC), în urma unei breșe de securitate din 2018, care a compromis datele a aproximativ 3 milioane de utilizatori din Uniunea Europeană. Aceasta este una dintre cele mai mari amenzi aplicate în baza Regulamentului General privind Protecția Datelor, dar nu cea mai mare pe care Meta a primit-o până acum.
Incidentul a fost declanșat de o vulnerabilitate apărută în iulie 2017, când Facebook a introdus o funcție de încărcare a videoclipurilor, care includea opțiunea „View As” (Vezi ca…). Aceasta le permitea utilizatorilor să vadă propriul profil așa cum ar apărea pentru altcineva.
Un bug în designul acestei funcții a permis unor atacatori să folosească uploader-ul video în combinație cu funcția „Happy Birthday Composer” pentru a genera token-uri de acces. Aceste token-uri le ofereau atacatorilor acces complet la profilurile Facebook ale utilizatorilor afectați. Exploatând această combinație, hackerii au putut accesa în mod neautorizat date personale, inclusiv:
- Nume complete, adrese de email și numere de telefon
- Locații, locuri de muncă și date de naștere
- Religie, gen și grupurile din care făceau parte utilizatorii
- Postări pe timeline și date despre copii
Între 14 și 28 septembrie 2018, atacatorii au folosit scripturi pentru a exploata vulnerabilitatea și au compromis în total aproximativ 29 milioane de conturi la nivel global, dintre care 3 milioane din Uniunea Europeană.
Meta a răspuns printr-o declarație oficială, prin vocea purtătoarei de cuvânt Emily Westcott:
„Această decizie vizează un incident din 2018. Am luat măsuri imediate pentru a remedia problema, am informat proactiv persoanele afectate, și am notificat Comisia Irlandeză pentru Protecția Datelor. Avem în prezent măsuri de securitate de ultimă generație, pentru a proteja utilizatorii pe toate platformele noastre.”
Aceasta nu este singura amendă primită de Meta în ultimii ani. În septembrie 2023, aceeași Comisie Irlandeză a sancționat Meta cu 91 milioane de euro pentru o breșă din 2019, când parolele a milioane de utilizatori au fost stocate în format necriptat pe serverele companiei.
De asemenea, în contextul implementării GDPR în 2018, autoritățile europene au devenit mai stricte în aplicarea regulamentului, iar Meta a fost adesea în centrul atenției. Criticii DPC au acuzat anterior autoritatea irlandeză că nu a aplicat suficiente sancțiuni împotriva giganților tehnologici, dar această decizie recentă indică o schimbare în abordare.
Această amendă subliniază importanța protejării datelor personale, și a transparenței din partea companiilor. Utilizatorii Facebook din România, la fel ca cei din restul Europei, ar trebui să fie conștienți de drepturile lor în baza GDPR.
Printre aceste drepturi se numără:
- Dreptul la informare privind modul în care sunt colectate și utilizate datele lor
- Dreptul de acces la datele personale stocate
- Dreptul la ștergerea datelor („dreptul de a fi uitat”)
