شرکت مادر فیسبوک، متا، توسط کمیسیون حفاظت از دادههای ایرلند (DPC) به دلیل یک سری نقضهای تاریخی دادهها، 17 میلیون یورو (حدود 18.6 میلیون دلار) جریمه شد.
آسیبپذیریهای امنیتی مورد بحث، که به نظر میرسد تا 30 میلیون کاربر فیسبوک را تحت تأثیر قرار داده است، به چندین سال قبل برمیگردد – و توسط فیسبوک تنظیمکننده ایرلندی در سال 2018 فاش شد.
DPC، متا/ تنظیم کننده پیشرو حریم خصوصی فیس بوک در اتحادیه اروپا، این تحقیقات امنیتی را در اواخر سال 2018 پس از دریافت حداقل 12 گزارش از نقض داده ها از غول فناوری در طول دوره شش ماهه بین 7 ژوئن 2018 تا 4 دسامبر آغاز کرد. ، 2018
مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) – که در ماه مه 2018 لازم الاجرا شد – کنترل کننده های داده را ملزم می کند در صورتی که نشت برای افراد خطر ایجاد کند، به سرعت نقض داده های شخصی توسط یک مقام نظارتی را شناسایی کنند. (جدی ترین تخلفات باید ظرف 72 ساعت گزارش شود.)
«این مطالعه میزانی را بررسی کرد که متا پلتفرمها الزامات مواد 5 (1) (f)، 5 (2)، 24 (1) و 32 (1) را در رابطه با پردازش دادههای شخصی مربوط به دوازده اخطار نقض را برآورده میکنند. DPC در یک بیانیه مطبوعاتی تصمیم نهایی را در مورد تحقیق فیس بوک خود اعلام کرد.
“در نتیجه تحقیقات خود، DPC متوجه شد که Meta Platforms مواد 5 (2) و 24 (1) GDPR را نقض کرده است. DPC متوجه شد که متا پلتفرمها اقدامات فنی و سازمانی مناسبی را که به آن اجازه میدهد به راحتی اقدامات امنیتی را که اجرا کرده است نشان دهد، اعمال نکرده است. در عمل برای حفاظت از داده های مصرف کننده در اتحادیه اروپا در زمینه دوازده نقض امنیت داده های شخصی.”
سخنگوی متا در بیانیهای در واکنش به مجازات DPC، سعی کرد این قسمت را صرفاً به عنوان یک مورد از حفظ سوابق تاریخی کم اهمیت جلوه دهد.
“این جریمه به شیوه های ثبت سوابق از سال 2018 اشاره دارد که ما از آن زمان به روز رسانی کرده ایم، و نه شکست در محافظت از اطلاعات افراد. ما تعهدات GDPR خود را جدی میگیریم و این تصمیم را به دقت بررسی خواهیم کرد، زیرا فرآیندهای ما به تکامل ادامه میدهند.
تحریم اعلام شده توسط DPC اولین تصمیم نهایی ایرلند برای بررسی GDPR علیه خود فیس بوک از زمان اجرایی شدن این مقررات تقریباً چهار سال پیش است – اگرچه تنظیم کننده سال گذشته یک تحریم جداگانه (بزرگتر) علیه اموال فیس بوک به دلیل نقض قوانین شفافیت صادر کرد.
DPC تأیید کرد که پیشنویس تصمیم خود در مورد این تحقیق در فیسبوک با مخالفتهایی از سوی دیگر مقامات حفاظت از داده اتحادیه اروپا مواجه شده است – چیزی که در تحقیقات قبلی در مورد نقض امنیتی در توییتر و همچنین تصمیم در مورد شفافیت واتساپ اتفاق افتاد. (در هر دو مورد، مکانیسم حل و فصل اختلاف GDPR منجر به مجازاتهای بالاتری نسبت به آنچه ایرلند پیشنهاد کرده است، شده است.)
DPC گفت دو نهاد دیگر به پیش نویس تصمیم خود در مورد تحقیق فیس بوک اعتراض کرده اند. با این حال، ایرلند مشخص نمی کند که آیا جریمه در نتیجه اعتراضات افزایش یافته است یا نه، و نه اینکه کدام مقامات اعتراض کرده اند (یا چرا).
قابل توجه است که جریمه نسبتاً کوچک است – مطمئناً با حداکثر تئوری 4 درصد گردش مالی جهانی متا (که بیش از یک میلیارد دلار خواهد بود) فاصله دارد.
با این حال، DPC در اواخر سال 2020 جریمه ای حتی کوچکتر (~ 550 هزار دلار) در توییتر اعمال کرد، همچنین به دلیل حذف های اداری در مورد اعلان نقض امنیتی..
اگرچه به احتمال زیاد در مواردی که اشتباه میکند تفاوتهایی وجود دارد، اما کاملاً واضح است که نقضهای امنیتی که توسط مقامات اتحادیه اروپا به عنوان غیرعمدی ارزیابی میشوند، احتمالاً به مجازاتهای کمتری نسبت به نقض سیستماتیک یا فاحش قوانین منجر میشوند.
همچنین نتیجه می شود که الف یک سری حذفیات جریمه سنگین تری را در فیس بوک نسبت به توییتر اعمال کرد که فقط یک تخلف (نه ده مورد) را گزارش کرد.
هک شخصیت اصلی
جزئیات همه 12 آسیبپذیری امنیتی که فیسبوک در دوره شش ماهه سال 2018 اعتراف کرد، توسط DPC در اعلامیه تحریم ذکر نشد – اما در سپتامبر 2018، این غول فناوری به طور عمومی از یک هک بزرگ رونمایی کرد که به گفته خودش بیشترین تأثیر را داشته است. کمتر از 50 میلیون حساب پس از سوء استفاده هکرها از یک آسیب پذیری امنیتی سایت.
فیسبوک بعداً اعلام کرد که تنها 30 میلیون کاربر واقعاً توکنهایشان را با هک به سرقت بردهاند.
این باگ که به ژوئیه 2017 بازمیگردد، به هکرها اجازه میدهد تا توکنهایی برای دسترسی به حسابهایی که برای ورود کاربران به هنگام وارد کردن نام کاربری و رمز عبور خود استفاده میشوند، به دست آورند – به این معنی که توکنهای سرقت شده میتوانند به هکرها اجازه هک حسابها را بدهند.
با این حال، این هک نماد بزرگ تنها نقص امنیتی این غول فناوری در سال 2018 نبود.
در ماه ژوئن، فیس بوک به کاربران در مورد باگی که ماه گذشته برای چند روز آسیبپذیری ایجاد کرده بود، اطلاع داد که به طور تصادفی تنظیمات حریم خصوصی پیشنهادی برای بهروزرسانیهای وضعیت عمومی را از آنچه کاربران تنظیم کرده بودند تغییر داده است – که احتمالاً باعث میشود تا 14 میلیون کاربر به اشتراک بگذارند. محتوای خیلی حساس فقط برای دوستان با غریبه ها.
اشکال دیگری که در نوامبر 2018 گزارش کردیم به هر وبسایتی اجازه میدهد تا اطلاعاتی را از نمایه کاربر فیسبوک – از جمله «لایکها» و علایق آنها – بدون اطلاع آن شخص بازیابی کند.
و در اواخر همان سال، در دسامبر، فیسبوک به طور عمومی یک باگ Photo API را معرفی کرد که به توسعهدهندگان اپلیکیشن اجازه دسترسی بیش از حد به عکسهای 5.6 میلیون کاربر را میدهد.
این سری از آسیبپذیریهای امنیتی از تاریخ کمبریج آنالیتیکا پیروی کرده است که رسوایی جهانی را در مارس 2018 شکست داد، زمانی که افشای اطلاعات کاربران فیسبوک از پلتفرم خود مکیده شد تا به تبلیغات هدفمند توسط کمپین هدایت شود. او به دنبال نفوذ غیر شفاف بر انتخابات ایالات متحده بود، میلیاردها دلار را از قیمت سهام خود پاک کرد.
رسوایی کمبریج آنالیتیکا همچنین قانونگذاران و رگولاتورها در سراسر جهان را وادار کرد تا بررسی کنند که فیس بوک چگونه اطلاعات افراد را پردازش می کند – و در نهایت به سرعت بخشیدن به بررسی اولیه و تقویت مقررات پلت فرم های دیجیتال (مانند امنیت آنلاین ورودی در بریتانیا) قوانین یا اتحادیه اروپا کمک کرد. قانون خدمات دیجیتال).
اما از آنجایی که رسوایی کمبریج آنالیتیکا قبل از اجرایی شدن GDPR بود، فیس بوک تا حد زیادی از تحریم های مستقیم نظارتی در اروپا برای این قسمت خاص اجتناب کرد. اگر آب و هوا کمی متفاوت بود، او میتوانست اکنون برای مجازاتی بسیار بزرگتر روی پا بماند.
دفتر کمیسر اطلاعات بریتانیا فیس بوک را برای کمبریج آنالیتیکا 500 هزار پوند جریمه کرد که حداکثر مبلغ ممکن تحت رژیم حفاظت از داده ها قبل از GDPR بود. اگرچه فیس بوک تصمیم تنظیم کننده را به چالش کشید – قبل از ادامه موافقت با پس گرفتن شکایت و پرداخت جریمه برای تسویه حساب با ICO، بدون پذیرش مسئولیت. بعداً مشخص شد که ICO با بسته شدن شرایط آن توافق موافقت کرده است.
نتایج نهایی ممیزی اپلیکیشنهای تمام پلتفرم فیسبوک اعلام کرد که پس از رسوایی کمبریج آنالیتیکا، در تلاش برای اطمینان دادن به کاربران مبنی بر پاکسازی بازیگران بد و قفل کردن دادههای کاربران، آن را پس از رسوایی انجام خواهد داد.
GDPR از آن زمان رژیم قانونی سخت گیرانه تری را علیه سوء استفاده از داده ها معرفی کرده است – حداقل در سراسر اتحادیه اروپا (بریتانیا دیگر یک کشور عضو نیست) – اما تاخیرهای طولانی بین رسوایی های داده ها و اجرای آن همچنان مانع از عملکرد روان این مقررات می شود.
تجربه گستردهتر ایرلند در پروندههای فرامرزی به این معنی است که اکنون بعید است که یک راهحل واحد علیه فیسبوک کاری برای کاهش انتقاد شدید از سرعت اجرای GDPR در برابر فناوریهای پیشرفته انجام دهد – البته با توجه به اینکه بسیاری از سؤالات دیگر فیس بوک حل نشده باقی ماندهاند. (و همانطور که دیروز گزارش دادیم، DPC اکنون به دلیل انفعال در مورد یک شکایت جداگانه در مورد GDPR که فناوری تبلیغات گوگل را هدف قرار می دهد محاکمه می شود.)
بنابراین احتمالاً تصادفی نیست که – حتی امروز – تنظیم کننده تصمیم گرفته است گزارشی از کار خود با موارد فرامرزی GDPR منتشر کند.
از جمله آماری که او برای برجسته کردن انتخاب می کند، اظهارات زیر است (از 25 مه 2018 تا 31 دسامبر 2021):
- 1150 شکایت معتبر فرامرزی توسط DPC دریافت شده است. 969 (84%) به عنوان سرپرست اصلی (LSA) و 181 (16%) به عنوان ناظر علاقه مند (CSA).
- 588 (61٪) شکایات برون مرزی، که توسط DPC به عنوان LSA در نظر گرفته شد، در ابتدا نزد یک مقام نظارتی دیگر تسلیم شد و به DPC منتقل شد.
- 65 درصد از تمام شکایات فرامرزی که توسط DPC به عنوان یک LSA در نظر گرفته شده است از می 2018 بسته شده اند، که 82 درصد از شکایات دریافتی در سال 2018 و 75 درصد در سال 2019 قبلا بسته شده است.
- از 634 شکایت فرامرزی بسته که توسط DPC به عنوان LSA در نظر گرفته شده است، 544 (86٪) با حل و فصل دوستانه به نفع شاکی حل و فصل شد.
- 72 (22%) شکایات فرامرزی باز مربوط به یک استعلام است و پس از نهایی شدن استعلام بسته خواهد شد. تعداد زیادی از شکایات باز دیگر از سال 2018 و 2019 مربوط به استعلام است.
- 86 درصد از تمام شکایات فرامرزی پردازش شده توسط DPC به عنوان LSA تنها به 10 کنترل کننده داده مربوط می شود.
- 38٪ از شکایات منتقل شده از DPC به سایر LSA در اتحادیه اروپا / EEA (به استثنای بریتانیا) بسته شده است.