Den irske databeskyttelseskommisjonen (DPC) kunngjorde 28. november at den har bøtelagt Facebook-utvikler Meta €265 millioner for brudd på EUs generelle databeskyttelsesforordning (GDPR). Konkret uttalte kommisjonen at den hadde bøtelagt Meta for å ha unnlatt å utforme Facebook på en slik måte at den ville beskytte brukere mot datainnbrudd.
Kunngjøringen fulgte etter en mer enn år lang etterforskning som startet i april 2021. Selve bruddet skjedde enda tidligere, sent i 2019.
Databeskyttelseskommisjonen kunngjør avgjørelse i Facebook-forespørselen om "Data Scraping": https://t.co/xW9nVqiJ2Y pic.twitter.com/6iDYnyVk5R
— Data Protection Commission Ireland (@DPCIreland) November 28, 2022
Datainnbruddet ble først oppdaget da en Tech Crunch-rapport avslørte at hundrevis av millioner av Facebook-brukeres telefonnumre var oppført i en offentlig tilgjengelig database på nettet. Selv om databasen senere ble fjernet av webverten, avslørte dens eksistens at Facebooks data var blitt brutt.
I april 2021 begynte DPC å undersøke bruddet. På den tiden la Meta ut en uttalelse om bruddet kalt "Fakta om nyhetsrapporter om Facebook-data." Meta hevdet at en angriper hadde brukt kontaktimporteringsverktøyet sitt til å spamme serveren med telefonnumre for å se hvilke som hadde Facebook-kontoer knyttet til seg.
Hver gang angriperen fikk svar, var de i stand til å få personopplysningene til brukeren og matche disse detaljene med brukernes telefonnummer. Som et resultat hadde brukernes personopplysninger blitt lekket til ondsinnede aktører.
I uttalelsen hevdet Meta at de hadde lappet denne kontaktimportør-sårbarheten når bruddet ble oppdaget, og at verktøyet nå var trygt.
I følge den nye DPC-erklæringen fant den "brudd på artikkel 25(1) og 25(2) GDPR" på grunn av denne hendelsen og "har ilagt administrative bøter på til sammen €265 millioner."
Bruken av personopplysninger i apper for sosiale medier har blitt kontroversiell de siste årene ettersom datainnbrudd har blitt vanlig.
Flere blokkjedeselskaper har forsøkt å løse problemet ved å lage blokkjede-apper for sosiale medier som ikke krever at brukere oppgir sine e-postadresser eller telefonnumre. For eksempel er både Bitclout og Blockster apper for sosiale medier som lar brukere logge på med bare en Ethereum-lommebok.
Ethereum-utviklere har også tilbød et forslag, kalt "EIP-4361," for å standardisere lommebokpåloggingsprosessen på tvers av alle apper. Tilhengere mener dette kan eliminere behovet for å be brukere om sensitiv personlig informasjon i apper for sosiale medier, noe som kan bidra til å forhindre brudd som dette i fremtiden.
Kilde: https://cointelegraph.com/news/meta-fined-265m-for-allowing-scrapers-to-steal-facebook-s-centralized-user-data