אירופה: עקב פרצת מידע בפייסבוק – מטא ספגה קנס של 264 מיליון ד'
29 מיליון משתמשי פייסבוק בעולם הושפעו ב-2018 מפרצה שחשפה את נתוניהם ● כעת, שש שנים מאוחר יותר, החברה נקנסה בשל כך בידי הנציבות האירית להגנת המידע, ה-DPC - המסדירה את חברת האם של פייסבוק באיחוד האירופי
מטא – החברה האם של פייסבוק – ספגה באחרונה קנס משמעותי בסך 264 מיליון דולר עקב פרצת אבטחה משנת 2018. הקנס הוטל עליה בידי הנציבות האירית להגנת המידע, ה-DPC, שהיא הרגולטור המוביל המפקח על מטא בנושאי פרטיות באיחוד האירופי, זאת בשל מיקום המטה האזורי של החברה בדבלין.
הפרשה החלה בשנת 2018, כאשר התגלתה פריצה משמעותית למערכות פייסבוק. ההאקרים ניצלו שלוש נקודות תורפה בתוך תכונת View As של הפלטפורמה – כלי המאפשר למשתמשים לראות כיצד הפרופיל שלהם נראה לאחרים. באמצעות פגיעה זו, הצליחו התוקפים ללכוד אסימוני גישה (Access tokens) שאפשרו להם להשתלט על חשבונות משתמשים. ההתקפה התפשטה במהירות ברשת החברתית, מה שהעיד, לפי הפרשנויות של מומחי אבטחה, על חולשה אבטחתית משמעותית באופן בו נשמרו נתוני המשתמשים.
בתחילה דיווחה מטא כי כ-50 מיליון חשבונות נפגעו מהפריצה, אולם חקירה נוספת של ה-DPC תיקנה את המספר ל-29 מיליון חשבונות, כאשר כ-3 מיליון מהם היו של תושבי אירופה. לאחר גילוי הפריצה מטא פעלה לתיקון הליקויים, וכן פעלה כדי ליידע את המשתמשים שנפגעו ולהודיע לרשויות הרגולטוריות בארה"ב ובאירופה, כולל ה-FBI.
📢 New Decision
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’).Read 👉https://t.co/uTYr0B3jDG pic.twitter.com/ATIBAM6aXF
— Data Protection Commission Ireland (@DPCIreland) December 17, 2024
הסיבה לקנס: הפרת ה-GDPR
הקנס הוטל על מטא כעת בגין הפרת התקנות הכלליות להגנה על המידע, ה-GDPR של האיחוד האירופי, אשר ידוע בחוקי הפרטיות המחמירים שלו. הקנסות, שסווגו כ"קנסות מינהליים", לוו בנזיפות על הפרות מרובות של תקנות ה-GDPR.
הרגולטורית האירית הדגישה ש-מטא לא סיפקה למשתמשים שלה את ההגנה המתאימה מפני מתקפות סייבר, אשר אפשרו להאקרים לנצל את הפגיעות בקוד של פייסבוק. כתוצאה מכך, פרטי מידע רגישים כמו כתובות דוא"ל, מספרי טלפון, מיקומים מדויקים ואפילו שמות ילדים – נחשפו. עוד הודגש כי הפרופילים בפייסבוק מכילים מידע רגיש, כגון דעות פוליטיות ודתיות ומידע אישי, אשר רבים אינם מעוניינים שיחשף בציבור.
מטא הודיעה כי בכוונתה לערער על ההחלטה, בטענה שהנושא טופל במהירות לאחר שהתגלה. "החלטה זו מתייחסת לאירוע משנת 2018. נקטנו פעולה מיידית לתיקון הבעיה ברגע שזוהתה", מסרה ענקית המדיה החברתית שהדגישה שדיווחה באופן מיידי לא רק לרשויות הרגולציה בארה"ב ובאירופה, אלא גם ליחידים שחשבונותיהם נפגעו מההתקפה.
📢 New Decision
The Irish Data Protection Commission (DPC) has today announced its final decisions following two inquiries into Meta Platforms Ireland Limited (‘MPIL’).Read 👉https://t.co/uTYr0B3jDG pic.twitter.com/ATIBAM6aXF
— Data Protection Commission Ireland (@DPCIreland) December 17, 2024
קיימברידג' אנליטיקה – עוד הפרה חמורה במיוחד מאותה שנה
המקרה המסוים מדגיש את האתגרים המתמשכים שעומדים בפני חברות הטכנולוגיה הענקיות בכל הנוגע לאבטחת נתוני משתמשים שלהן מפני איומים מתוחכמים, בעיקר כשהן פועלות תחת חוקי הפרטיות והגנת המידע המחמירים של האיחוד. ככלל, הקנסות משמשים לא רק כעונש כספי, אלא גם כתזכורת לאחריות המשמעותית המוטלת על החברות לשמירה על מידע אישי, במיוחד בעידן שבו פרצות אבטחה דיגיטליות עלולות להשפיע באופן נרחב על פרטיות המשתמשים ולערער את אמונם בחברות הללו.
נזכיר כי בנוסף למקרה הנוכחי, פייסבוק/מטא הסתבכו ונקנסו בעבר בגלל הפרה חמורה עוד יותר של פרטיות המתמשים, הידועה בכינוי פרשיית קיימברידג' אנליטיקה ושהתפוצצה באותה שנה עצמה.
במרץ 2018, דיווחו הניו יורק טיימס והאובזרבר ש-קיימברידג' אנליטיקה עשתה שימוש עסקי במידע אישי של עשרות מיליון משתמשים שאותו השיגה מפייסבוק, ושמלכתחילה נאסף בידי חוקר חיצוני למטרות אקדמיות, לכאורה. הגרדיאן דיווח כי פייסבוק ידעה על הפרת אבטחה זו במשך שנתיים, אך לא עשתה דבר כדי להגן על המשתמשים שלה.
אז הואשמה פייסבוק כי אפשרה שימוש לרעה בנתוני משתמשים שנאספו באמצעות אפליקציה בשם This is Your Digital Life שנוצרה בשנת 2013. מטא הואשמה בכך שאפשרה את איסוף המידע, אשר שימש לאפיון פסיכולוגי של משתמשים, ואז היא היוותה פלטפורמה להעברת מסרים פוליטיים ממוקדים אליהם, כולל במהלך הבחירות לנשיאות ארה"ב ב-2016.
בעקבות הפרשה, ביולי 2019 הודיעה נציבות הסחר הפדרלית של ארה"ב, ה-FTC, על הטלת קנס של 5 מיליארד דולר על פייסבוק, בשל אוזלת ידה בהגנה על פרטיות הציבור בפרשייה. בנוסף, באוקטובר של אותה שנה, פייסבוק הסכימה לשלם קנס של חצי מיליון ליש"ט בעקבות חקירה של נציבות המידע הבריטית, ה-ICO, שמצאה כי היא הפרה את חוקי הפרטיות של בריטניה בכך שאפשרה לקיימברידג' אנליטיקה לגשת לנתונים האישיים של 87 מיליון ממשתמשיה.
תגובות
(0)