A Comissão Irlandesa de Proteção de Dados (DPC) multou a Meta✴ por violar o Regulamento Geral de Proteção de Dados da UE (GDPR), que resultou no vazamento de informações de 3 milhões de usuários europeus da rede social Facebook✴.
Fonte da imagem: Antoine Schibler/unsplash.com
O fato da violação remonta a 2018, mas sua causa remonta a 2017 – então o Facebook✴ introduziu um novo mecanismo de upload de vídeos, que incluía a função “Ver como”, que permitia ao usuário visualizar sua própria página na rede social , qual foi visto por outro usuário. Devido a uma falha na arquitetura desse recurso, ele foi combinado com outro recurso chamado “Happy Birthday Composer” para gerar um token que permitisse acesso ao perfil de outro usuário.
Durante o período de 14 a 28 de setembro de 2018, pessoas não autorizadas, usando scripts para explorar esta vulnerabilidade do Facebook✴, fizeram login como proprietários de contas em 29 milhões de contas de redes sociais – das quais 3 milhões estavam localizadas na UE ou no Espaço Económico Europeu , ou seja, na área de responsabilidade da DPC. Os invasores adquiriram diversas categorias de dados pessoais de usuários do Facebook✴: nomes completos, endereços de e-mail, números de telefone, informações sobre localização e local de trabalho, datas de nascimento, religião, sexo, publicações no feed de notícias, grupos aos quais pertenciam, bem como dados pessoais de crianças.
A DPC constatou duas violações nas ações da empresa: o dono da rede social não divulgou ao regulador todas as informações sobre o incidente, não documentou integralmente os fatos da violação e as medidas tomadas para eliminar o problema; Além disso, o proprietário da plataforma violou os princípios do GDPR ao não fornecer medidas adequadas para proteger os dados pessoais dos europeus. Pela primeira violação foi imposta uma multa de 11 milhões de euros, pela segunda – 240 milhões de euros.
«Esta decisão está relacionada a um incidente ocorrido em 2018. Tomámos medidas imediatas para resolver o problema assim que foi descoberto e informamos antecipadamente as pessoas afetadas, bem como a Comissão Irlandesa de Proteção de Dados. Temos uma ampla gama de medidas líderes do setor disponíveis para proteger as pessoas em nossas plataformas”, disse a porta-voz da Meta✴, Emily Westcott, ao TechCrunch. Em setembro, a empresa foi multada em 91 milhões de euros por armazenar “centenas de milhões” de palavras-passe de utilizadores em texto não criptografado em servidores em 2019.