A Meta Platforms, empresa mãe do Facebook, Instagram, WhatsApp e Threads, foi multada em €251 milhões (cerca de $263 milhões) por um vazamento de dados em 2018 que afetou milhões de usuários no bloco, representando o mais recente impacto financeiro sofrido pela empresa por violar leis rigorosas de privacidade.
A Comissão Irlandesa de Proteção de Dados (DPC) declarou que o vazamento de dados impactou aproximadamente 29 milhões de contas do Facebook globalmente, sendo cerca de 3 milhões dessas na União Europeia e no Espaço Econômico Europeu (EEA).
É importante notar que estimativas iniciais da gigante de tecnologia calculavam o total de contas afetadas em 50 milhões.
O incidente, que a empresa de mídia social revelou em setembro de 2018, surgiu de um bug introduzido nos sistemas do Facebook em julho de 2017, permitindo que atores de ameaças desconhecidos explorassem o recurso "Ver Como", que permite a um usuário ver o próprio perfil como se fosse outra pessoa.
Isso, finalmente, tornou possível obter tokens de acesso à conta, permitindo que os invasores entrassem nas contas das vítimas.
As categorias de dados pessoais impactadas como resultado da violação de segurança incluíram nomes completos dos usuários, endereços de e-mail, números de telefone, localização, locais de trabalho, datas de nascimento, religião, gênero, postagens em cronologias, grupos dos quais eram membros e dados pessoais de crianças.
"Um usuário utilizando [o recurso Ver Como] poderia acionar o carregador de vídeos em conjunto com o recurso 'Compositor de Feliz Aniversário' do Facebook", disse a DPC.
O carregador de vídeos então geraria um token de usuário completamente permissionado que lhes dava acesso total ao perfil do Facebook daquele outro usuário.
Um usuário poderia então usar esse token para explorar a mesma combinação de recursos em outras contas, permitindo-lhes acessar múltiplos perfis de usuários e os dados acessíveis através deles.
O órgão de proteção de dados também disse que atores maliciosos utilizaram scripts para explorar a falha entre 14 e 28 de setembro de 2018 e ganhar acesso não autorizado a 29 milhões de contas do Facebook globalmente.
A Meta desde então removeu a funcionalidade que causou o problema.
As multas são em decorrência da violação de quatro cláusulas diferentes sob as leis de privacidade de dados GDPR, nomeadamente o Artigo 33(3), Artigo 33(5), Artigo 25(1) e Artigo 25(2):
- Falha em incluir em sua notificação de violação todas as informações que poderia e deveria ter incluído
- Falha em documentar os fatos relativos a cada violação, as etapas tomadas para remediar e fazê-lo de maneira que permitisse à Autoridade Supervisora verificar a conformidade
- Falha em garantir que os princípios de proteção de dados fossem protegidos no design dos sistemas de processamento
- Falha em suas obrigações como controlador para garantir que apenas dados pessoais necessários para propósitos específicos sejam processados
"Esta ação de fiscalização destaca como a falha em incorporar requisitos de proteção de dados ao longo do ciclo de design e desenvolvimento pode expor indivíduos a riscos e danos muito sérios, incluindo um risco aos direitos fundamentais e liberdades dos indivíduos", disse o Vice-Comissário da DPC, Graham Doyle.
Ao permitir a exposição não autorizada de informações de perfil, as vulnerabilidades por trás dessa violação causaram um grave risco de má utilização desses tipos de dados.
Esta é a segunda multa aplicada pela DPC contra a Meta, que recebeu uma penalidade de €91 milhões ($101,5 milhões) em setembro de 2024 por um problema de segurança em 2019 que envolvia o armazenamento inadvertido de senhas de usuários em texto puro.
O desenvolvimento ocorre enquanto a Meta também concordou com um programa de pagamento de AU$50 milhões ($31,5 milhões) para se acertar com o Office of the Australian Information Commissioner (OAIC) relacionado ao uso indevido de informações pessoais dos usuários para perfis políticos e direcionamento de anúncios na esteira do escândalo Cambridge Analytica de 2018.
O esquema é elegível para indivíduos que possuíam uma conta no Facebook entre 2 de novembro de 2013 e 17 de dezembro de 2015; estiveram presentes na Austrália por mais de 30 dias durante esse período; e ou instalaram o aplicativo This is Your Digital Life ou foram amigos no Facebook de alguém que instalou o aplicativo.
Diz-se que 53 usuários australianos do Facebook instalaram o aplicativo, e 311.074 usuários do Facebook poderiam ter tido suas informações pessoais solicitadas pelo aplicativo como amigos daqueles que o baixaram.
A solução oferece dois níveis de pagamentos, um pagamento base para aqueles que experimentaram preocupação ou embaraço generalizado por causa do vazamento e um pagamento específico para aqueles que podem demonstrar que sofreram perda ou dano.
Espera-se que o programa de pagamento aceite inscrições formalmente no segundo trimestre de 2025.
"Isso representa uma resolução substancial das preocupações de privacidade levantadas pelo assunto Cambridge Analytica, dá aos australianos potencialmente afetados uma oportunidade de buscar reparação através do programa de pagamento da Meta, e traz um fim a um longo processo judicial", disse a Comissária de Informação Australiana, Elizabeth Tydd.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...