Meta krijgt boete van €251 miljoen vanwege datalek in 2018
Europese privacywaakhonden beboeten Meta met €251 miljoen
Op maandag heeft de Europese Unie de eigenaar van Facebook, Meta, beboet met in totaal €251 miljoen, na een onderzoek naar een datalek uit 2018 op het sociale mediaplatform dat miljoenen accounts blootstelde.
De Ierse Data Protection Commission heeft de boetes opgelegd na de afronding van haar onderzoek naar het datalek, waarbij hackers toegang kregen tot gebruikersaccounts door kwetsbaarheden in de code van het platform te exploiteren. Deze kwetsbaarheden stelden hen in staat om digitale sleutels, bekend als “toegangstokens”, te stelen.
Onder het strikte privacyregime van de 27-nationele EU is de Ierse toezichthouder de hoofdprivacyregulator van Meta, omdat het regionale hoofdkantoor van het bedrijf in Dublin is gevestigd. De toezichthouder heeft berispingen en “administratieve boetes” opgelegd ter waarde van €251 miljoen, nadat werd vastgesteld dat er meerdere overtredingen van de regels, bekend als de Algemene Verordening Gegevensbescherming (AVG), waren.
Meta heeft aangekondigd in beroep te gaan tegen deze beslissing. “Deze beslissing betreft een incident uit 2018. We hebben onmiddellijk actie ondernomen om het probleem op te lossen zodra het werd geïdentificeerd,” aldus Meta in een verklaring. Het bedrijf meldde dat het “proactief mensen die getroffen waren” informeerde, evenals de Ierse toezichthouder.
Bij de eerste bekendmaking van het probleem zei Facebook dat 50 miljoen gebruikersaccounts waren getroffen. Maar het werkelijke aantal lag rond de 29 miljoen, inclusief 3 miljoen in Europa, aldus de Ierse toezichthouder op dinsdag.
Het bedrijf heeft aangegeven dat het, na het ontdekken van de bug, de FBI en toezichthouders in de VS en Europa op de hoogte heeft gesteld. De hack betrof drie verschillende kwetsbaarheden in de “Bekijk als”-functie van Facebook, waarmee mensen kunnen zien hoe hun profiel eruitziet voor anderen. De aanvallers gebruikten deze kwetsbaarheid om toegangstokens te stelen van de accounts van mensen wiens profielen in zoekopdrachten via de “Bekijk als”-functie verschenen. De aanval verspreidde zich vervolgens van de ene Facebook-vriend naar de andere. Het bezit van deze tokens stelde de aanvallers in staat om die accounts te controleren.
