متا به دلیل یک نقض امنیتی که در سال ۲۰۱۸ در فیسبوک اتفاق افتاد و موجب آسیب به میلیونها کاربر شد، ۲۶۳ میلیون دلار جریمه شد. این جریمه توسط کمیسیون حفاظت دادههای ایرلند صادر شده و به نواقص جدی در اطلاعرسانی و حفظ دادههای شخصی مرتبط است.
به گزارش دنیای برند به نقل از تک کرانچ، این جریمه که روز سهشنبه توسط کمیسیون حفاظت دادههای ایرلند (DPC) و در راستای اجرای مقررات عمومی حفاظت از دادهها (GDPR) این اتحادیه صادر شده، از بزرگترین جریمههایی که متا از زمان اجرای این مقررات در پنج سال گذشته دریافت کرده، نیست. اما بهعنوان یک تنبیه قابل توجه برای یک حادثه امنیتی خاص به شمار میآید.
نقض امنیتی به ژوئیه ۲۰۱۷ برمیگردد، زمانی که فیسبوک قابلیت بارگذاری ویدیو را معرفی کرد که شامل ویژگی “بهصورت” بود، که به کاربر اجازه میداد صفحه فیسبوک خود را همانطور که دیگران میبینند، مشاهده کند.
یک باگ در طراحی این امکان را به بازیگران خرابکار داد که با ترکیب این ویژگی با قابلیت “Happy Birthday Composer” فیسبوک، توکنی از کاربر را تولید کنند که به آنها دسترسی کامل به پروفایل فیسبوک کاربر را میداد. سپس میتوانستند از این توکن برای بهرهبرداری از همان ترکیب ویژگیها در حسابهای دیگر استفاده کنند و به طور غیرمجاز به پروفایلها و دادههای چندین کاربر دسترسی پیدا کنند.
بین ۱۴ تا ۲۸ سپتامبر ۲۰۱۸، نهاد ناظر اعلام کرد افراد غیرمجاز با استفاده از اسکریپتها از این آسیبپذیری بهرهبرداری کرده و به حدود ۲۹ میلیون حساب کاربری فیسبوک در سطح جهانی وارد شدند که حدود ۳ میلیون از آنها مربوط به منطقه اقتصادی اروپا بودند.
دادههای شخصی آسیبدیده از این نقض شامل نام کامل، آدرس ایمیل، شماره تلفن، محل سکونت، محل کار، تاریخ تولد، مذهب، جنسیت، پستها در تایملاینها، گروههایی که کاربر عضو آنها بود و اطلاعات شخصی فرزندان بود.
گستردگی دادههای شخصی تحت تأثیر قرار گرفته احتمالاً بر اندازه جریمه تأثیر گذاشته است.
دو تصمیم اجرایی
روز سهشنبه، نهاد تنظیمکننده ایرلند از دو تحقیق که در مورد حادثه ۲۰۱۸ آغاز کرده بود، تصمیمات نهایی خود را اعلام کرد: یکی از تصمیمات به اطلاعرسانی نقض متا مربوط میشود، زیرا GDPR نیاز به گزارشدهی سریع و جامع از حوادث بزرگ امنیتی دارد، در حالی که تصمیم دیگر به قوانین مربوط به حفاظت از دادهها در طراحی و بهطور پیشفرض میپردازد.
در هر دو مورد، DPC متوجه شد که متا قوانین GDPR این اتحادیه را نقض کرده است.
این جریمه به شرح زیر است:
متا به مبلغ ۱۱ میلیون یورو جریمه شده است در رابطه با تصمیم اول، بهطوریکه DPC متوجه شد اطلاعرسانی نقض این شرکت شامل تمامی اطلاعات “ممکن و ضروری” نبود. همچنین یادآور شد که شرکت نتوانسته است حقایق مربوط به نقض و اقداماتی که برای حل مشکل انجام شده را به طور کامل مستند کند.
علاوه بر این، متا به مبلغ ۲۴۰ میلیون یورو در رابطه با تصمیم دوم جریمه شده است، جایی که DPC تأیید کرد که این شرکت اصول حفاظت از دادهها در طراحی را نقض کرده، زیرا تدابیری مناسب برای حفاظت از دادههای افراد در برابر پردازش غیرمجاز نداشت.
در بیانیهای، گراهام دویل، معاون کمیسر DPC گفت: “این اقدام اجرایی نشان میدهد که عدم توجه به الزامات حفاظت از دادهها در طول چرخه طراحی و توسعه میتواند افراد را در معرض خطرات و آسیبهای بسیار جدی قرار دهد، از جمله خطرات مربوط به حقوق و آزادیهای اساسی افراد.”
وی افزود: “پروفایلهای فیسبوک میتوانند و غالباً شامل اطلاعاتی درباره مسائلی مانند باورهای مذهبی یا سیاسی، زندگی یا گرایش جنسی و مسائل مشابهی باشد که کاربر ممکن است تمایل داشته باشد آنها را فقط در شرایط خاص افشا کند. با اجازه داده شدن به افشای غیرمجاز اطلاعات پروفایل، آسیبپذیریهای موجود در این نقض خطر جدی از سوءاستفاده از این نوع دادهها ایجاد کرد.”
عنصر قابل توجه دیگری در این حکم تحت کمیسرهای DPC، دکتر دِس هوگان و دیل ساندلند، – که اوایل امسال جانشین کمیسر هلن دیکسون شدهاند – این است که هیچ اعتراضی به تصمیم پیشنویس ایرلند توسط مقامات همتای خود مطرح نشده است.
DPC در یک اطلاعیه مطبوعاتی نوشت: “DPC از همکاری و کمکی که مقامات نظارتی همتای اتحادیه اروپا و منطقه اقتصادی اروپا در این پرونده ارائه کردند، سپاسگزاری میکند.”
منتقدان DPC تحت نظر دیکسون این نهاد را به این متهم کردند که معمولاً نظارت بر GDPR را در مورد متا و دیگر غولهای فناوری بهدرستی انجام نمیدهند. بسیاری از تصمیمات پیشنویس این نهاد در مورد تکنولوژیهای بزرگ در آن زمان توسط همتایانش مورد مناقشه قرار گرفتند. چندین اقدام اجرایی علیه متا به طور خاص شامل روندهای طولانی مدت مناقشهمحور بود – و برخی نیاز به تصمیمات الزامآور از هیئت حفاظت دادههای اروپا برای خاتمه طی این روند داشتند.
بنابراین، قابل توجه است که این اقدام اجرایی علیه متا که DPC تأیید کرده است در ژوئیه ۲۰۲۴ به عنوان پیشنویس به مکانیزم همکاری GDPR ارائه شده، بدون هیچ آسیب بهمنزلت خود ادامه پیدا کرده است.
در جواب به این جریمه، سخنگوی متا، امیلی وستکوت، بیانیهای صادر کرد که در آن نوشته شده است: “این تصمیم مربوط به حادثهای از سال ۲۰۱۸ است. ما بلافاصله اقدام کردیم تا مشکل را به محض شناسایی آن برطرف کنیم و به طور پیشدستانه افراد تحت تأثیر را به همراه کمیسیون حفاظت دادههای ایرلند مطلع کردیم. ما مجموعهای از تدابیر برتر صنعت را برای حفاظت از افراد در پلتفرمهای خود به کار گذاشتیم.”
در سپتامبر گذشته، DPC تصمیم دیگری نیز علیه متا بهدلیل نقض امنیتی در سال ۲۰۱۹ صادر کرد. این شرکت به مبلغ ۹۱ میلیون یورو بهدلیل حادثهای جریمه شد که در آن “صدها میلیون” رمز عبور کاربران به صورت متن عادی بر روی سرورهایش ذخیره شده بود.
