Meta é multada em 251 milhões de euros por violação de segurança que afetou 29 milhões de usuários em 2018
A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de 251 milhões de euros à Meta por violações ao Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
A violação remonta a julho de 2017, quando o Facebook lançou a função de upload de vídeo integrada ao recurso “Visualizar como”, que permitia aos usuários visualizar suas páginas como seriam vistas por outras pessoas. Um bug no design permitiu que agentes mal-intencionados combinassem o carregador de vídeo com o recurso “Happy Birthday Composer” do Facebook — que redige mensagens personalizadas de aniversário para amigos — para gerar tokens de acesso que concediam controle total aos perfis afetados. Esses tokens podiam ser reutilizados em outras contas, possibilitando acesso não autorizado a dados de usuários.
Entre 14 e 28 de setembro de 2018, o órgão regulador constatou que scripts maliciosos exploraram essa vulnerabilidade, permitindo login em aproximadamente 29 milhões de contas ao redor do mundo — 3 milhões das quais localizadas na UE/Espaço Econômico Europeu. Os dados comprometidos incluíram nomes completos, endereços de e-mail, números de telefone, localização e postagens dos usuários.
A penalidade total foi dividida em duas partes:
-
11 milhões de euros: referente à falta de informações completas na notificação de violação enviada pela Meta. A DPC concluiu que a empresa não documentou adequadamente os fatos da violação nem as medidas tomadas para remediar o problema.
-
240 milhões de euros: devido à violação dos princípios de proteção de dados desde a concepção previstos no GDPR. A DPC identificou que a Meta não implementou medidas adequadas para proteger os dados contra processamento não intencional.
Em resposta, a Meta declara que, na época, tomou medidas imediatas para corrigir o problema assim que ele foi identificado, notificando proativamente os usuários impactados e o próprio regulador irlandês.