Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.
Штраф в размере 251 млн евро за утечку персональных данных
Компания Meta* за утечку персональных данных оштрафована на 251 млн евро. Компания допустила утечку персональных данных миллионов пользователей. Неизвестные могли использовать уязвимость в настройках конфиденциальности. Утечка персональных данных подписчиков поставила под угрозу их безопасность.
Meta Platforms, материнская компания таких известных социальных платформ и мессенджеров, как Facebook*, Instagram*, WhatsApp и Threads, должна будет выплатить 251 млн евро (около 263 млн долларов США) за утечку конфиденциальной информации подписчиков, допущенную более шести лет назад.
Штраф назначила Ирландская комиссия по защите данных (DPC), заявив, что инцидент, о котором идет речь, затронул конфиденциальную информацию около 29 млн пользователей сети Facebook*, из которых порядка 3 млн человек были резидентами Европейского союза и Европейской экономической зоны. Напомним, что в Ирландии расположена европейская штаб-квартира Meta*. Стоит отметить, что, по первоначальной оценке самой компании, общее количество скомпрометированных аккаунтов достигало 50 млн.
Интернет-гиганту придется выложить более четверти миллиарда евро за нарушение, о котором он сообщил в сентябре 2018 г. Утечка информации произошла из-за ошибки, допущенной в настройках конфиденциальности еще в июле 2017 г. Используя функцию «Посмотреть как» (View As), неизвестные могли не просто просматривать содержимое любого профиля, но и активировать загрузчик видео, который позволял генерировать токены доступа к аккаунтам, что помогло взломать ряд профилей.
Категории информации, которая была раскрыта в ходе инцидента, содержали имена пользователей, электронные адреса, номера мобильных телефонов, данные о местоположении, сведения о занятости, даты рождения, вероисповедание, пол, посты в лентах новостей, а также информация об участии в группе и персональные данные несовершеннолетних.
По информации DPC, злоумышленники запускали скрипты для сбора данных в рамках эксплуатации уязвимости с 14 по 28 сентября 2018 г., что позволило получить доступ к 29 млн аккаунтам. Далее Meta* смогла исправить ошибку.
Штраф наложен за нарушение четырех различных положений о конфиденциальности общеевропейского регламента GDPR, а именно статей 33(3), 33(5), 25(1) и 25(2). В частности, Meta* сообщила неполные сведения об инциденте, не провела документирование фактов о нарушении и шагов для его устранения. Кроме того, регулятор определил, что компания не обеспечила принципы защиты данных при разработке систем обработки информации и не выполнила свои обязательства как контроллер персональных данных.
Это второй крупный штраф, наложенный DPC на Meta* в 2024 году. В сентябре компания была оштрафована на 91 млн евро за непреднамеренное раскрытие пользовательских паролей в незашифрованном виде.
Источник: The Hacker News
*Российским судом компания Meta и ее платформа Facebook признаны экстремистскими организациями, их деятельность запрещена на территории РФ.