爱尔兰隐私监管机构 DPC 对 Meta 处以 2.51 亿欧元的罚款。该公司因 2018 年发生的大规模 Facebook 数据泄露而被罚,这起事件导致 2900 万用户的数据落入未经授权的第三方手中。DPC 根据两项独立调查的结果对罚款做出了决定,认为 Meta 在四个方面违反了《通用数据保护条例》(GDPR)。涉及的条款包括第 25 条第 1 款和第 2 款,以及第 33 条第 3 款和第 5 款。DPC 指出,Meta 在数据泄露后 “未能充分通报隐私监管机构,并且未能妥善记录导致数据泄露的事实”。
此外,该公司未能履行作为数据处理者的义务,因为 “在其系统设计中未考虑数据保护”,并且 Meta 收集的个人数据超过了必要的范围。DPC 开出的罚款总额为 2.51 亿欧元。完整的罚款决定将在稍后公布。
Meta 表示,该公司在发现数据泄露后 “立即采取了行动,并通知了 DPC 等机构”。该公司计划对罚款提出上诉。
Facebook 当时解释称,数据泄露是由三种漏洞的组合造成的。第一个漏洞允许通过 “以某种身份查看” 功能在类型窗口中上传视频,而实际上应该是 “仅查看” 功能。第二个漏洞与视频上传器有关,该上传器错误生成了一个访问令牌,而这并非其设计目的。第三个漏洞在于生成的访问令牌并不属于使用 “以某种身份查看” 功能的用户,而是属于可以被恶意用户选择的其他用户。由于该令牌存在于 Facebook 页面的 HTML 代码中,攻击者可以利用它以该用户身份登录。随后,他们可以重复此过程以生成更多令牌。DPC 估计,约有 300 万名 Facebook 用户在欧盟和欧洲经济区内成为数据泄露的受害者。
