Facebookの親会社であるMetaは火曜日、2018年に発見された個人情報を漏洩したデータ侵害に関連して一般データ保護規則(GDPR)に違反したとして、アイルランドデータ保護委員会(DPC)から2億5,100万ユーロ(約2億6,300万ドル)の罰金を科せられた。何百万ものユーザーのデータ。
アイルランドの規制当局によると、この侵害は、Facebookが「View As」機能を含むビデオアップロード機能を導入した2017年7月に遡る。
この機能により、ユーザーは自分の Facebook ページを他のユーザーと同じように表示できるようになりました。
サイバー攻撃者は、Facebook の「View As」機能の脆弱性を悪用し、Facebook の「Happy Birthday Composer」機能と連携してビデオ アップローダを呼び出すことができました。
ビデオ アップローダーは、攻撃者に他のユーザーの Facebook プロフィールへのフル アクセスを与えるユーザー トークンを生成しました。
DPC によると、攻撃者は盗んだトークンを使用して他のアカウントで同様の機能を悪用し、複数のユーザー プロファイルとその関連データにアクセスしたとのことです。
同庁は、2018年9月14日から9月28日までの間、権限のない人物がスクリプトを使用してこの脆弱性を悪用し、世界中で約2,900万のFacebookアカウント(欧州連合(EU)および欧州経済領域(EEA)内の300万を含む)にアクセスしたと付け加えた。
侵害された個人データには、ユーザーの氏名、電子メール アドレス、電話番号、所在地、勤務先、生年月日、宗教、性別、タイムライン上の投稿、ユーザーがメンバーとして所属していたグループ、およびその子供の個人データが含まれていました。
「View As」機能のバグを発見した直後、Facebook のセキュリティ担当者は直ちに是正措置を講じ、機能を削除しました。
アイルランド DPC は、2018 年のデータ侵害に関連して以下の GDPR 違反を具体的に特定しました。
- 第 33 条(3):侵害通知の詳細を提供しない –>800万ユーロ大丈夫
- 第 33 条(5):侵害の事実と救済策の文書化が不十分 –>300万ユーロ大丈夫
- 第 25 条(1):システム設計にデータ保護を組み込むことができない –>1億3,000万ユーロ大丈夫
- 第 25 条(2):特定の目的に必要な個人データのみがデフォルトで処理されることを保証できなかった –>1億1,000万ユーロ大丈夫
「この強制措置は、設計と開発サイクル全体を通じてデータ保護要件を組み込んでいないことが、個人の基本的権利と自由に対するリスクを含む、いかに個人を非常に深刻なリスクと危害にさらす可能性があるかを浮き彫りにしている」とDPCのグラハム・ドイル副委員長はコメントした。コミッショナー。
「プロファイル情報の不正な公開を許可することで、この侵害の背後にある脆弱性により、この種のデータが悪用される重大なリスクが引き起こされました。」
DPCの発表を受けて、メタ社の広報担当者は声明で次のように述べた。ブリーピングコンピューター、「この決定は2018年の事件に関連しています。私たちは問題が特定されるとすぐに問題を解決するための措置を講じ、影響を受けた人々とアイルランドデータ保護委員会に積極的に通知しました。当社はプラットフォーム全体で人々を保護するために、業界をリードする幅広い対策を講じています。」
