Ирландската комисия за защита на данните (DPC) наложи глоба на Meta в размер на 265 млн. евро (275,5 млн. долара) за масовото изтичане на данни от Facebook през 2021г., в резултат на което е разкрита информацията на стотици милиони потребители по целия свят.

С това приключва разследването на DPC за потенциални нарушения на GDPR от страна на Meta, започнало на 14 април 2021г. след публикуването на данни, принадлежащи на 533 милиона потребители на Facebook, в хакерски форум.

Изложените на риск данни включват лична информация, като мобилни номера, идентификационни номера във Facebook, имена, пол, местоположение, статус на връзката, професии, дати на раждане и имейл адреси.

Всички тези данни са били споделени в известен хакерски форум, което е позволило използването им от хакери за целенасочени атаки.

Тогава Facebook заяви, че ухакерите са събрали данните, като са използвали недостатък в техния инструмент „Contact Importer“, за да свържат телефонните номера с идентификатор на Facebook, и след това са иззели останалата информация, за да изградят профил на потребителя.

От платформата заявиха, че са отстранили грешката през 2019г., а данните са били събрани преди това.

Разследването на DPC стигна до заключението, че Meta (тогава Facebook) е нарушила член 25, параграф 1 и член 25, параграф 2 от GDPR, обобщени по следния начин:

• 25, параграф 1 – Администраторът на данни прилага подходящи технически и организационни мерки, като например псевдонимизация, и интегрира необходимите гаранции в обработването, за да изпълни изискванията на настоящия регламент и да защити правата на субектите на данни.
• 25(2) – Администраторът прилага подходящи технически и организационни мерки, за да гарантира, че по подразбиране се обработват само личните данни, необходими за всяка цел на обработването. По-специално тези мерки гарантират, че по подразбиране личните данни не са достъпни без намесата на лицето за неопределен брой физически лица.

Беше проведен цялостен процес на разследване, включително сътрудничество с всички други надзорни органи за защита на данните в ЕС“, се казва в съобщението на DPC.

„Тези надзорни органи се съгласиха с решението на КЗЛД.“

Остъргване на данни (скрепинг)

Скреперите на данни са автоматизирани ботове, които използват отворените мрежови приложни програмни интерфейси (API) на платформи, съхраняващи потребителски данни, като Facebook, за да извличат публично достъпна информация и да създават огромни бази данни с потребителски профили.

Въпреки че не става въпрос за хакерство, събраните от скреперите набори от данни могат да се комбинират с данни от множество точки (сайтове), създавайки пълни профили на потребителите, което прави проследяването им от страна на търговците или насочването им от страна на хакерите много по-ефективно.

В случая с Meta обаче хакерите са използвали недостатък във функцията за импортиране на контакти във Facebook и Instagram, за да свържат телефонните номера с тази публично събрана информация, което им е позволило да създадат профили, съдържащи лична и публична информация.

Скрепирането е в разрез с политиките на повечето онлайн платформи, но прилагането на тези правила е технически сложно, както наскоро беше подчертано при случаите с TikTok и WeChat.

LinkedIn се обърна към съда, за да предотврати изстъргването на данни в платформата, като осигури съдебно разпореждане срещу легалните оператори на скрепери и им попречи да използват вече събраните данни по този начин.

DPC се счита за първенец по спазване на GDPR в ЕС поради многото технологични компании, които работят от Ирландия, така че нейното решение със сигурност ще предизвика сътресения за други големи администратори на данни, принуждавайки ги да преоценят своите механизми за борба със скрепинга.