متا به دلیل نقض امنیتی ۲۰۱۸ در اروپا به مبلغ ۲۶۳ میلیون دلار جریمه شد

 این جریمه که روز سه‌شنبه توسط کمیسیون حفاظت داده‌های ایرلند (DPC) و در راستای اجرای مقررات عمومی حفاظت از داده‌ها (GDPR) این اتحادیه صادر شده، از بزرگ‌ترین جریمه‌هایی که متا از زمان اجرای این مقررات در پنج سال گذشته دریافت کرده، نیست. اما به‌عنوان یک تنبیه قابل توجه برای یک حادثه امنیتی خاص به شمار می‌آید.

نقض امنیتی به ژوئیه ۲۰۱۷ برمی‌گردد، زمانی که فیس‌بوک قابلیت بارگذاری ویدیو را معرفی کرد که شامل ویژگی “به‌صورت” بود، که به کاربر اجازه می‌داد صفحه فیس‌بوک خود را همان‌طور که دیگران می‌بینند، مشاهده کند.

یک باگ در طراحی این امکان را به بازیگران خرابکار داد که با ترکیب این ویژگی با قابلیت “Happy Birthday Composer” فیس‌بوک، توکنی از کاربر را تولید کنند که به آن‌ها دسترسی کامل به پروفایل فیس‌بوک کاربر را می‌داد. سپس می‌توانستند از این توکن برای بهره‌برداری از همان ترکیب ویژگی‌ها در حساب‌های دیگر استفاده کنند و به طور غیرمجاز به پروفایل‌ها و داده‌های چندین کاربر دسترسی پیدا کنند.

بین ۱۴ تا ۲۸ سپتامبر ۲۰۱۸، نهاد ناظر اعلام کرد افراد غیرمجاز با استفاده از اسکریپت‌ها از این آسیب‌پذیری بهره‌برداری کرده و به حدود ۲۹ میلیون حساب کاربری فیس‌بوک در سطح جهانی وارد شدند که حدود ۳ میلیون از آن‌ها مربوط به منطقه اقتصادی اروپا بودند.

داده‌های شخصی آسیب‌دیده از این نقض شامل نام کامل، آدرس ایمیل، شماره تلفن، محل سکونت، محل کار، تاریخ تولد، مذهب، جنسیت، پست‌ها در تایم‌لاین‌ها، گروه‌هایی که کاربر عضو آن‌ها بود و اطلاعات شخصی فرزندان بود.

گستردگی داده‌های شخصی تحت تأثیر قرار گرفته احتمالاً بر اندازه جریمه تأثیر گذاشته است.

دو تصمیم اجرایی

روز سه‌شنبه، نهاد تنظیم‌کننده ایرلند از دو تحقیق که در مورد حادثه ۲۰۱۸ آغاز کرده بود، تصمیمات نهایی خود را اعلام کرد: یکی از تصمیمات به اطلاع‌رسانی نقض متا مربوط می‌شود، زیرا GDPR نیاز به گزارش‌دهی سریع و جامع از حوادث بزرگ امنیتی دارد، در حالی که تصمیم دیگر به قوانین مربوط به حفاظت از داده‌ها در طراحی و به‌طور پیش‌فرض می‌پردازد.

در هر دو مورد، DPC متوجه شد که متا قوانین GDPR این اتحادیه را نقض کرده است.

این جریمه به شرح زیر است:

متا به مبلغ ۱۱ میلیون یورو جریمه شده است در رابطه با تصمیم اول، به‌طوری‌که DPC متوجه شد اطلاع‌رسانی نقض این شرکت شامل تمامی اطلاعات “ممکن و ضروری” نبود. همچنین یادآور شد که شرکت نتوانسته است حقایق مربوط به نقض و اقداماتی که برای حل مشکل انجام شده را به طور کامل مستند کند.

علاوه بر این، متا به مبلغ ۲۴۰ میلیون یورو در رابطه با تصمیم دوم جریمه شده است، جایی که DPC تأیید کرد که این شرکت اصول حفاظت از داده‌ها در طراحی را نقض کرده، زیرا تدابیری مناسب برای حفاظت از داده‌های افراد در برابر پردازش غیرمجاز نداشت.

در بیانیه‌ای، گراهام دویل، معاون کمیسر DPC گفت: “این اقدام اجرایی نشان می‌دهد که عدم توجه به الزامات حفاظت از داده‌ها در طول چرخه طراحی و توسعه می‌تواند افراد را در معرض خطرات و آسیب‌های بسیار جدی قرار دهد، از جمله خطرات مربوط به حقوق و آزادی‌های اساسی افراد.”

وی افزود: “پروفایل‌های فیس‌بوک می‌توانند و غالباً شامل اطلاعاتی درباره مسائلی مانند باورهای مذهبی یا سیاسی، زندگی یا گرایش جنسی و مسائل مشابهی باشد که کاربر ممکن است تمایل داشته باشد آن‌ها را فقط در شرایط خاص افشا کند. با اجازه داده شدن به افشای غیرمجاز اطلاعات پروفایل، آسیب‌پذیری‌های موجود در این نقض خطر جدی از سوءاستفاده از این نوع داده‌ها ایجاد کرد.”

عنصر قابل توجه دیگری در این حکم تحت کمیسرهای DPC، دکتر دِس هوگان و دیل ساندلند، – که اوایل امسال جانشین کمیسر هلن دیکسون شده‌اند – این است که هیچ اعتراضی به تصمیم پیش‌نویس ایرلند توسط مقامات همتای خود مطرح نشده است.

DPC در یک اطلاعیه مطبوعاتی نوشت: “DPC از همکاری و کمکی که مقامات نظارتی همتای اتحادیه اروپا و منطقه اقتصادی اروپا در این پرونده ارائه کردند، سپاسگزاری می‌کند.”

منتقدان DPC تحت نظر دیکسون این نهاد را به این متهم کردند که معمولاً نظارت بر GDPR را در مورد متا و دیگر غول‌های فناوری به‌درستی انجام نمی‌دهند. بسیاری از تصمیمات پیش‌نویس این نهاد در مورد تکنولوژی‌های بزرگ در آن زمان توسط همتایانش مورد مناقشه قرار گرفتند. چندین اقدام اجرایی علیه متا به طور خاص شامل روندهای طولانی مدت مناقشه‌محور بود – و برخی نیاز به تصمیمات الزام‌آور از هیئت حفاظت داده‌های اروپا برای خاتمه طی این روند داشتند.

بنابراین، قابل توجه است که این اقدام اجرایی علیه متا که DPC تأیید کرده است در ژوئیه ۲۰۲۴ به عنوان پیش‌نویس به مکانیزم همکاری GDPR ارائه شده، بدون هیچ آسیب به‌منزلت خود ادامه پیدا کرده است.

در جواب به این جریمه، سخنگوی متا، امیلی وستکوت، بیانیه‌ای صادر کرد که در آن نوشته شده است: “این تصمیم مربوط به حادثه‌ای از سال ۲۰۱۸ است. ما بلافاصله اقدام کردیم تا مشکل را به محض شناسایی آن برطرف کنیم و به طور پیش‌دستانه افراد تحت تأثیر را به همراه کمیسیون حفاظت داده‌های ایرلند مطلع کردیم. ما مجموعه‌ای از تدابیر برتر صنعت را برای حفاظت از افراد در پلتفرم‌های خود به کار گذاشتیم.”

در سپتامبر گذشته، DPC تصمیم دیگری نیز علیه متا به‌دلیل نقض امنیتی در سال ۲۰۱۹ صادر کرد. این شرکت به مبلغ ۹۱ میلیون یورو به‌دلیل حادثه‌ای جریمه شد که در آن “صدها میلیون” رمز عبور کاربران به صورت متن عادی بر روی سرورهایش ذخیره شده بود.