Meta оштрафована на 265 миллионов евро за то, что позволила парсерам украсть централизованные пользовательские данные Facebook

28 ноября Ирландская комиссия по защите данных (DPC) объявила, что оштрафовала разработчика Facebook Meta на 265 млн евро за нарушение Общего регламента ЕС по защите данных (GDPR). В частности, комиссия заявила, что оштрафовала Meta за то, что она не разработала Facebook таким образом, чтобы защитить пользователей от утечки данных.

Объявление последовало за более чем годичным расследованием, которое началось в апреле 2021 года. Сам взлом произошел еще раньше, в конце 2019 года.

https://platform.twitter.com/widgets.js

Утечка данных была впервые обнаружена, когда отчет Tech Crunch показал, что сотни миллионов телефонных номеров пользователей Facebook были перечислены в общедоступной онлайн-базе данных. Хотя позже веб-хост удалил базу данных, ее существование показало, что данные Facebook были взломаны.

В апреле 2021 года DPC начал расследование нарушения. В то время Meta опубликовала заявление о взломе под названием «Факты о новостных сообщениях о данных Facebook». Meta заявила, что злоумышленник использовал свой инструмент импорта контактов, чтобы спамить сервер телефонными номерами, чтобы узнать, с какими из них связаны учетные записи Facebook.

Каждый раз, когда злоумышленник получал ответ, он мог получить личные данные пользователя и сопоставить эти данные с номером телефона пользователя. В результате личные данные пользователей попали к злоумышленникам.

В заявлении Meta заявила, что она исправила эту уязвимость импортера контактов после того, как брешь была обнаружена, и что теперь инструмент безопасен.

Согласно новому заявлению DPC, он обнаружил «нарушение статей 25 (1) и 25 (2) GDPR» в связи с этим инцидентом и «наложил административные штрафы на общую сумму 265 миллионов евро».

Использование личных данных в приложениях для социальных сетей в последние годы вызвало споры, поскольку утечка данных стала обычным явлением.

Несколько блокчейн-компаний попытались решить проблему, создав блокчейн-приложения для социальных сетей, которые не требуют от пользователей предоставления своих адресов электронной почты или номеров телефонов. Например, и Bitclout, и Blockster — это приложения для социальных сетей, которые позволяют пользователям входить в систему, используя только кошелек Ethereum.

Разработчики Ethereum также предложили предложение под названием «EIP-4361» для стандартизации процесса входа в кошелек во всех приложениях. Сторонники считают, что это может устранить необходимость запрашивать у пользователей конфиденциальную личную информацию в приложениях социальных сетей, что может помочь предотвратить подобные нарушения в будущем.