泄露5.33億用戶隱私,Meta被罰2.65億歐元

發(fā)布時間 2022-11-29

據(jù)BleepingComputer 消息,近日,愛爾蘭數(shù)據(jù)保護委員會 (DPC) 因2021 年 Facebook 大規(guī)模數(shù)據(jù)泄露事件,向其母公司Meta開出 2.65 億歐元(約20億人民幣)巨額罰單。


2021年4月,黑客將5.33億Facebook用戶隱私數(shù)據(jù)泄露至黑客論壇,其中包括了手機號碼、Facebook ID、姓名、性別、位置、人物關(guān)系、職業(yè)、出生日期和電子郵件地址。DPC 于 2021 年 4 月 14 日正式啟動了對 Meta 可能違反 《通用數(shù)據(jù)保護條例》(GDPR )相關(guān)規(guī)定的調(diào)查。


Facebook 當時表示,黑客通過利用Contact Importer工具中的一個缺陷將電話號碼與 Facebook ID 關(guān)聯(lián),然后抓取其余信息來為用戶建立個人資料來收集數(shù)據(jù)。Facebook表示該漏洞已在2019年修復(fù),黑客在此之前竊取了數(shù)據(jù)。


根據(jù)DPC 的調(diào)查結(jié)論,Meta違反了 GDPR 第 25章第1及第2條:

25.1 數(shù)據(jù)控制者應(yīng)實施適當?shù)募夹g(shù)和管理措施,比如將數(shù)據(jù)進行假名化,并在處理過程中納入必要的保障措施,以滿足本規(guī)定的要求并保護數(shù)據(jù)主體的權(quán)利。


25.2 數(shù)據(jù)控制者應(yīng)該使用適當?shù)募夹g(shù)及管理措施,來保證在默認情況下,僅使用處理目的所必要的個人數(shù)據(jù)。特別注意這類措施應(yīng)應(yīng)確保在默認情況下,不應(yīng)允許任何個人干預(yù),同時只向有限數(shù)量的自然人提供個人數(shù)據(jù)。

數(shù)據(jù)抓取


數(shù)據(jù)抓取采用一種自動化機器人工具,能利用 Facebook 等保存用戶數(shù)據(jù)平臺的開放網(wǎng)絡(luò) API 來提取公開信息并創(chuàng)建大量用戶資料數(shù)據(jù)庫。


雖然不涉及黑客攻擊,但爬蟲收集的數(shù)據(jù)集可以與來自多個點(站點)的數(shù)據(jù)相結(jié)合,創(chuàng)建完整的用戶檔案,從而使黑客的攻擊目標更加精準有效。在 Meta 的案例中,黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一個缺陷將電話號碼與這些公開收集的信息相關(guān)聯(lián),從而允許他們創(chuàng)建包含個人和公共信息的配置文件。


由于許多科技公司在愛爾蘭運營,DPC 被認為是歐盟 GDPR 合規(guī)的先鋒,因此其決定勢必會給其他掌控大量數(shù)據(jù)的企業(yè)帶來影響,迫使他們重新評估其反抓取機制。