Meta, krovna kompanija Facebooka, kažnjena je novom kaznom u Europskoj uniji. Ponovno je kaznu izrekao irski regulator Data Protection Commission (DPC), tamošnja Komisija za zaštitu osobnih podatka, budući da Facebook i Meta svoja sjedišta za Europsku uniju imaju upravo u toj zemlji. Još jednom je kao zakonska podloga za izricanje kazne bila Opća uredba o zaštiti podataka (GDPR), a glavni je povod Facebookov tehnički propust iz 2017. godine.
Propust je zahvatio oko 29 milijuna korisničkih računa u svijetu, od čega je njih oko 3 milijuna bilo vezano uz korisnike iz EU ili Europskog gospodarskog područja, kaže DPC, pa navodi da su uslijed toga izloženi bili privatni podaci poput imena, e-mail adresa, brojeva telefona, lokacije, mjesta rada, datuma rođenja, religijskih opredjeljenja, objava, kao i podaci o djeci. Svi ti i slični podaci bili su dostupni na Facebooku onima kojima to nisu trebali biti, tj. Facebook je omogućavao bilo kome uvid u podatke koje su korisnici bili označili privatnima, zanemarujući postavke privatnosti.
DPC je stoga proveo istragu i donio odluku – Meta kao vlasnik Facebooka morat će platiti 251 milijun eura novčane kazne, iako je propust bio zakrpan nedugo po njegovom otkrivanju. Odluka uključuje niz opomena i kaznu koja je podijeljena u četiri dijela, po jedan za svaku prekršenu odredbu.
“Ova kazna naglašava kako propust u ugradnji mehanizama za zaštitu podataka tijekom dizajna i razvoja proizvoda može izložiti pojedince vrlo ozbiljnim rizicima i štetama, uključujući rizik za temeljna prava i slobode pojedinaca. Facebook profili mogu, i često to i čine, sadržavati informacije o stvarima poput vjerskih ili političkih uvjerenja, seksualnog života ili orijentacije i sličnih stvari koje bi korisnik mogao otkriti samo u određenim okolnostima. Dopuštajući neovlašteno izlaganje informacija o profilu, ranjivosti koje stoje iza ove povrede uzrokovale su ozbiljan rizik zlouporabe ovih vrsta podataka”, objašnjavaju iz DPC-a.
Sigurnosni propust koji je doveo do ove odluke DPC-a povezan je s funkcijom za prijenos videozapisa na Facebooku, uvedenom u srpnju 2017. Propust je otkriven u opciji “View As”, koja je omogućavala korisnicima da vide vlastiti profil iz perspektive drugog korisnika. Kroz tu funkciju, korisnici su mogli pokrenuti alat za prijenos videozapisa u kombinaciji s Facebookovim alatom za izradu rođendanskih čestitki. Na taj se način mogao generirati korisnički token s punim pristupom profilu drugog korisnika.
Između 14. i 28. rujna 2018., neovlaštene osobe koristile su skripte kako bi iskoristile ovaj propust, što im je omogućilo pristup do spomenutih više milijuna korisničkih računa. Facebookova sigurnosna služba otkrila je problem zbog neobičnog povećanja aktivnosti prijenosa videozapisa te je ubrzo uklonila funkcionalnost koja je uzrokovala ranjivost. Kazne su uslijedile zbog izlaganja podataka neželjenim stranama, ali i nedovoljno transparentnog komuniciranja propusta regulatoru.
Komentiraj članak: