Из-за утечки данных 50 млн пользователей Facebook грозит штраф в $1,63 млрд

Комиссия по защите данных Ирландии (Data Protection Commission, DPC) может оштрафовать социальную сеть Facebook на 4% глобальной выручки, или около $1,63 млрд. Решение будет принято после окончания соответствующего расследования.

Реакция DPC связана с утечкой данных более 50 млн пользователей по всему миру, о которой стало известно 27 сентября текущего года. Начало расследования стало возможным благодаря европейскому закону о защите данных (GDPR), принятому в этом году. Закон позволяет властям стран Европейского союза применять оборотный (4% глобальной выручки) или фиксированный (до 20 млн евро в целом) штраф в отношении к компании в том случае, если её меры по защите данных пользователей признаны недостаточными.

Отмечается, что DPC также пожаловалась на то, что в уведомлении Facebook о глобальной утечке недостаточно информации об источнике и параметрах уязвимости. В таком случае GDPR предполагает ещё один штраф размером в 2% глобальной выручки за несвоевременное информирование об утечке, — спустя 72 часа после обнаружения. Жалоба может означать признание уведомления соцсети недействительным, несмотря на то, что формально требование GDPR представители Facebook выполнили.

Проблема, связанная с вопросами безопасности, была найдена инженерной командой соцсети во второй половине дня во вторник, 25 сентября. Уведомление об этом было опубликовано в четверг, 27 сентября. Эксперты полагают, что расследование DPC установит эффективность и достаточность защиты данных пользователей Facebook до случившегося инцидента, но соответствие эффективности компании придётся доказывать в суде.

Напомним, Facebook обнаружила уязвимость в функции View As, которая позволяет пользователям соцсети посмотреть, как их профиль видят другие люди. Гай Ризен, вице-президент Facebook в отношении продуктов, рассказал, что найденная проблема позволяла хакерам украсть ​маркеры доступа к миллионам аккаунтов:

Маркеры доступа (access tokens) — это эквивалент цифровых ключей, которые позволяют пользователям оставаться авторизованными в Facebook и не вводить заново пароль каждый раз, когда они входят в приложение.

Facebook ликвидировала проблему, сбросив маркеры доступа 50 млн теоретически скомпрометированных аккаунтов. Вдобавок компания в качестве «меры предосторожности» сбросила маркеры доступа ещё 40 млн аккаунтов. Facebook выяснила, что уязвимость была связана с изменением, которое было внесено в функцию загрузки видеозаписей ещё в июле 2017 года. В компании уверены, что злоумышленники смогли использовать уязвимость:

Во второй половине дня во вторник, 25 сентября, наша инженерная команда обнаружила связанную с вопросами безопасности проблему, которая затронула почти 50 млн аккаунтов. Мы восприняли это невероятно серьёзно и поэтому решили рассказать о случившемся нашим пользователям. Наше расследование всё ещё находится на начальной стадии, однако уже сейчас мы выяснили, что злоумышленники использовали уязвимость в коде Facebook, которая повлияла на функцию View As, — рассказал Ризен.