Meta Platforms, het moederbedrijf van Facebook, Instagram, WhatsApp en Threads, heeft een boete van € 251 miljoen (ongeveer $ 263 miljoen) gekregen voor een datalek in 2018 dat miljoenen gebruikers in het blok trof, wat de laatste financiële klap is die het bedrijf heeft gehad genomen wegens het negeren van strenge privacywetten.
De Ierse Data Protection Commission (DPC) zei dat het datalek wereldwijd ongeveer 29 miljoen Facebook-accounts heeft getroffen, waarvan ongeveer 3 miljoen in de Europese Unie en de Europese Economische Ruimte (EER). Het is vermeldenswaard dat de eerste schattingen van de technologiegigant het totale aantal getroffen accounts op 50 miljoen hadden vastgesteld.
Het incident, dat het socialemediabedrijf in september 2018 bekendmaakte, kwam voort uit een bug die in juli 2017 in de systemen van Facebook werd geïntroduceerd, waardoor onbekende bedreigingsactoren de functie ‘Weergeven als’ konden misbruiken, waarmee een gebruiker zijn eigen profiel als iemand kan zien. anders.
Dit maakte het uiteindelijk mogelijk om accounttoegangstokens te verkrijgen, waardoor de aanvallers konden inbreken in de accounts van slachtoffers. Categorieën van persoonlijke gegevens die getroffen zijn als gevolg van de inbreuk op de beveiliging omvatten de volledige namen van gebruikers, e-mailadressen, telefoonnummers, locatie, werkplekken, geboortedata, religie, geslacht, berichten op tijdlijnen, groepen waarvan ze lid waren, en persoonsgegevens van kinderen.
“Een gebruiker die gebruik maakt van de View As-functie kan de video-uploader gebruiken in combinatie met de ‘Happy Birthday Composer’-functie van Facebook”, aldus de DPC.
“De video-uploader zou dan een volledig geautoriseerd gebruikerstoken genereren dat hem volledige toegang gaf tot het Facebook-profiel van die andere gebruiker. Een gebruiker zou dat token vervolgens kunnen gebruiken om dezelfde combinatie van functies op andere accounts te exploiteren, waardoor hij toegang kreeg tot meerdere gebruikers ‘ profielen en de gegevens die daardoor toegankelijk zijn.”
De gegevensbeschermingswaakhond zei ook dat kwaadwillende actoren tussen 14 en 28 september 2018 scripts gebruikten om de fout te misbruiken en ongeautoriseerde toegang te krijgen tot 29 miljoen Facebook-accounts wereldwijd. Meta heeft sindsdien de functionaliteit verwijderd die het probleem veroorzaakte.
De boetes zijn het gevolg van de overtreding van vier verschillende clausules onder de AVG-wetgeving inzake gegevensprivacy, namelijk artikel 33, lid 3, artikel 33, lid 5, artikel 25, lid 1 en artikel 25, lid 2.
- Het niet in de melding van een inbreuk opnemen van alle informatie die zij had kunnen en moeten opnemen
- Het niet documenteren van de feiten met betrekking tot elke inbreuk en de stappen die zijn ondernomen om deze te verhelpen, en dit op een manier te doen die de Toezichthoudende Autoriteit in staat stelt de naleving ervan te verifiëren
- Het niet garanderen dat de beginselen van gegevensbescherming werden beschermd bij het ontwerp van de verwerkingssystemen
- Het niet nakomen van zijn verplichtingen als verwerkingsverantwoordelijke om ervoor te zorgen dat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor specifieke doeleinden
“Deze handhavingsactie benadrukt hoe het onvermogen om gegevensbeschermingsvereisten in te bouwen tijdens de ontwerp- en ontwikkelingscyclus individuen kan blootstellen aan zeer ernstige risico’s en schade, waaronder een risico voor de fundamentele rechten en vrijheden van individuen”, aldus DPC-adjunct-commissaris Graham Doyle.
“Door ongeoorloofde openbaarmaking van profielinformatie toe te staan, veroorzaakten de kwetsbaarheden achter deze inbreuk een ernstig risico op misbruik van dit soort gegevens.”
Dit is de tweede boete die de DPC heeft opgelegd aan Meta, die in september 2024 een boete van € 91 miljoen ($101,5 miljoen) kreeg opgelegd vanwege een beveiligingsprobleem in 2019 waarbij per ongeluk de wachtwoorden van gebruikers in leesbare tekst werden opgeslagen.
De ontwikkeling komt omdat Meta ook instemde met een betalingsprogramma van AU$50 miljoen ($31,5 miljoen) om een schikking te treffen met het Office of the Australian Information Commissioner (OAIC) in verband met het misbruik van de persoonlijke informatie van gebruikers voor politieke profilering en advertentietargeting in de nasleep van het Cambridge Analytica-schandaal van 2018.
De regeling komt in aanmerking voor personen die tussen 2 november 2013 en 17 december 2015 een Facebook-account hadden; gedurende die periode meer dan 30 dagen in Australië aanwezig waren; en ofwel de This is Your Digital Life-app hebben geïnstalleerd, ofwel Facebook-vrienden waren met iemand die de app had geïnstalleerd.
Er wordt gezegd dat 53 Australische Facebook-gebruikers de app hadden geïnstalleerd, en dat de persoonlijke gegevens van 311.074 Facebook-gebruikers door de app konden worden opgevraagd als vrienden van degenen die de app hadden gedownload.
De schikking biedt twee soorten betalingen: een basisbetaling aan degenen die algemene zorgen of schaamte hebben ervaren vanwege het lek en een specifieke betaling aan degenen die kunnen aantonen dat ze verlies of schade hebben geleden. Verwacht wordt dat het betalingsprogramma de aanvragen in het tweede kwartaal van 2025 formeel zal accepteren.
“Het vertegenwoordigt een substantiële oplossing voor de privacyproblemen die naar voren zijn gebracht door de Cambridge Analytica-zaak, geeft potentieel getroffen Australiërs de kans om verhaal te halen via het betalingsprogramma van Meta, en maakt een einde aan een langdurig gerechtelijk proces”, aldus de Australische informatiecommissaris Elizabeth Tydd.