Platforma Meta, odpowiedzialna za zarządzanie Facebookiem, Instagramem, WhatsAppem oraz Threads, została ukarana grzywną w wysokości 251 milionów euro (około 263 milionów dolarów) przez irlandzkiego Komisarza ds. Ochrony Danych (DPC). Grzywna dotyczy wycieku danych, który miał miejsce w 2018 roku i dotknął miliony użytkowników, w tym około 3 milionów kont w Unii Europejskiej i Europejskim Obszarze Gospodarczym (EEA). To kolejne już przedsięwzięcie regulacyjne, które nakłada na giganta technologicznego karę za naruszenie przepisów dotyczących ochrony prywatności.
Naruszenie danych miało swoje źródło w błędzie w systemach Facebooka, który pojawił się w lipcu 2017 roku i umożliwił cyberprzestępcom wykorzystanie funkcji „Zobacz jako”. Funkcja ta pozwala użytkownikowi na przeglądanie swojego profilu z perspektywy innej osoby. W rezultacie hakerzy otrzymywali dostępowe tokeny do kont użytkowników, co umożliwiało pełny dostęp do ich profili. Facebook ujawnił ten incydent publicznie we wrześniu 2018 roku. Początkowo gigant technologiczny szacował, że wyciek dotknął 50 milionów kont, jednak później liczby te skorygowano do 29 milionów.
W wyniku tego naruszenia cyberprzestępcy zdobyli dostęp do różnych kategorii danych, w tym pełnych nazwisk użytkowników, adresów e-mail, numerów telefonów, lokalizacji, miejsc pracy, dat urodzenia, płci, religii, postów na osi czasu, członkostwa w grupach, a nawet danych dotyczących dzieci. Funkcja „Zobacz jako”, jak wyjaśniła irlandzka instytucja ochrony danych, pozwalała użytkownikowi na wykorzystanie kombajnu wideo w połączeniu z „Kompozytorem Urodzinowym”, co generowało w pełni uprawniony token dostępu. Token ten mógł być użyty do uzyskania dostępu do innych kont i powtarzania ataku.
Komisja zarzuciła Meta nie tylko błędy techniczne, ale również zaniedbania w zakresie przestrzegania zasad RODO. Firma nie dopełniła obowiązków obejmujących właściwe informowanie o naruszeniu, udokumentowanie faktów związanych z naruszeniem ani zapewnienie, że zasady ochrony danych zostały uwzględnione podczas projektowania systemów przetwarzania danych. W efekcie, grzywna została nałożona za naruszenia czterech kluczowych artykułów RODO: 33(3), 33(5), 25(1) i 25(2).
W międzyczasie Meta stara się zminimalizować skutki innych problemów związanych z ochroną danych. W Australii firma zgodziła się na wypłatę odszkodowań w kwocie 50 milionów dolarów australijskich (31,5 miliona dolarów amerykańskich) w ramach rozliczeń dotyczących skandalu Cambridge Analytica. Wyciek danych w latach 2013-2015 umożliwił aplikacji „This is Your Digital Life” pozyskanie informacji o użytkownikach i ich znajomych, co było następnie wykorzystywane do profilowania politycznego. Program odszkodowań w Australii ma objąć osoby dotknięte tym naruszeniem, a jego realizację planuje się na drugi kwartał 2025 roku.
Skandale takie jak te pokazują, jak kluczowe jest przestrzeganie zasad ochrony prywatności na każdym etapie projektowania i rozwoju technologii. Zaniedbania mogą doprowadzić do naruszenia praw milionów ludzi, zwiększając ryzyko ich nadużyć, a także narażając firmy na istotne koszty finansowe i reputacyjne. Wyroki takie jak ten w sprawie Meta są ostrzeżeniem dla firm technologicznych o potrzebie skupienia się na bezpieczeństwie danych od samego początku działalności – nie jako dodatku, ale fundamentu ich działań.