Meta Platforms 是 Facebook、Instagram、WhatsApp 和 Threads 的母公司,因 2018 年的一次数据泄露事件而被罚款 2.51 亿欧元(约合 2.63 亿美元),该事件影响了欧盟国家的数百万用户,这是该公司因藐视严格的隐私法而遭受的最新一次经济打击。
爱尔兰数据保护委员会(DPC)称,此次数据泄露事件影响了全球约 2900 万个 Facebook 账户,其中约 300 万个账户位于欧盟和欧洲经济区(EEA)。值得注意的是,该科技巨头最初估计受影响账户总数为 5000 万。
这家社交媒体公司早在 2018 年 9 月就披露了这一事件,事件源于 2017 年 7 月 Facebook 系统出现的一个漏洞,该漏洞允许未知威胁行为者利用 “View As ”功能,让用户以他人身份查看自己的个人资料。
这最终使得攻击者有可能获得账户访问令牌,从而侵入受害者账户。受安全漏洞影响的个人数据类别包括用户的全名、电子邮件地址、电话号码、位置、工作地点、出生日期、宗教信仰、性别、时间轴上的帖子、所属群组以及儿童的个人数据。
DPC 说:“用户在使用[查看为]功能时,可以将视频上传器与 Facebook 的‘生日快乐合成器’设施结合使用。”
“视频上传器随后会生成一个完全授权的用户令牌,该令牌允许用户完全访问其他用户的 Facebook 个人资料。然后,用户可以使用该令牌在其他账户上利用相同的功能组合,从而访问多个用户的个人资料以及通过这些资料访问的数据。”
数据保护监督机构还表示,2018 年 9 月 14 日至 28 日期间,恶意行为者利用脚本利用了这一漏洞,在未经授权的情况下访问了全球 2900 万个 Facebook 账户。Meta 此后删除了导致该问题的功能。
罚款的依据是违反了 GDPR 数据隐私法的四个不同条款,即第 33(3)条、第 33(5)条、第 25(1)条和第 25(2)条。
- 未能在其违规通知中包含所有可以和应该包含的信息
- 未能记录与每次违规有关的事实、为纠正违规所采取的措施,并且未能以允许监管机构核查合规情况的方式进行记录
- 未能确保在设计处理系统时保护数据保护原则
- 未能履行作为控制者的义务,确保只处理特定目的所需的个人数据
DPC 副专员 Graham Doyle 说:“这次执法行动凸显了在整个设计和开发周期中未能纳入数据保护要求会如何使个人面临非常严重的风险和伤害,包括对个人基本权利和自由的风险。”
“由于允许未经授权暴露个人资料信息,这次漏洞背后的漏洞造成了滥用这些类型数据的严重风险。”
这是 DPC 对 Meta 公司开出的第二张此类罚单,早在 2024 年 9 月,Meta 公司就曾因 2019 年的安全问题被处以 9100 万欧元(约合 1.015 亿美元)的罚款,该安全问题涉及无意中以明文形式存储用户密码。
此前,Meta 还同意向澳大利亚信息专员办公室(OAIC)支付 5000 万澳元(约合 3150 万美元),以解决 2018 年剑桥分析丑闻后滥用用户个人信息进行政治剖析和广告定位的问题。
该计划适用于在 2013 年 11 月 2 日至 2015 年 12 月 17 日期间持有 Facebook 账户的个人;在此期间在澳大利亚逗留超过 30 天;安装了 This is Your Digital Life 应用程序或与安装了该应用程序的个人是 Facebook 好友。
据悉,有 53 名澳大利亚 Facebook 用户安装了该应用程序,311,074 名 Facebook 用户可能被该应用程序要求提供其作为下载者好友的个人信息。
该和解方案提供了两层付款,一层是向那些因信息泄露而普遍感到担忧或尴尬的人支付基本款项,另一层是向那些能够证明自己遭受了损失或损害的人支付特定款项。该赔付计划预计将于 2025 年第二季度正式接受申请。
澳大利亚信息专员伊丽莎白-泰德(Elizabeth Tydd)说:“这是对剑桥分析公司事件引发的隐私问题的实质性解决,使可能受到影响的澳大利亚人有机会通过 Meta 的支付计划寻求补偿,并结束了漫长的法庭程序。”
发表评论
您还未登录,请先登录。
登录