Meta は、世界中の何億人ものユーザーの情報を公開した 2021 年の Facebook の大規模なデータ漏洩に対して、アイルランドのデータ保護委員会 (DPC) から 2 億 6,500 万ユーロ (2 億 7,550 万ドル) の罰金を科されました。
これは、ハッカー フォーラムで5 億 3,300 万人の Facebook ユーザーに属するデータが公開された後、2021 年 4 月 14 日に開始された Meta による GDPR 違反の可能性に関するDPC の調査を終了します。
公開されたデータには、携帯電話番号、Facebook ID、名前、性別、場所、交際ステータス、職業、生年月日、メールアドレスなどの個人情報が含まれていました。
このデータはすべて、有名なハッキング フォーラムで共有されており、脅威アクターが標的型攻撃にデータを使用できるようになっていました。
Facebook は当時、攻撃者が「Contact Importer」ツールの欠陥を悪用して電話番号を Facebook ID に関連付け、残りの情報をスクレイピングしてユーザーのプロファイルを作成することでデータを収集したと述べていました。
プラットフォームは、2019 年にバグを修正したと述べており、データはそれ以前に収集されました。
DPC の調査は、Meta (当時は Facebook) が GDPR の第 25 条 (1) および第 25 条 (2) を侵害していると結論付けました。
- 25(1) – データ管理者は、この規則の要件を満たし、データ主体の権利を保護するために、仮名化などの適切な技術的および組織的措置を実施し、必要な保護手段を処理に統合するものとします。
- 25(2) – 管理者は、適切な技術的および組織的措置を講じて、デフォルトで、各処理目的に必要な個人データのみが処理されるようにするものとします。特に、そのような措置は、デフォルトでは、不特定多数の自然人が個人の介入なしに個人データにアクセスできないことを保証するものとします。
「EU内の他のすべてのデータ保護監督当局との協力を含む、包括的な調査プロセスがありました」 とDPCの発表を読む.
「これらの監督当局は、DPC の決定に同意しました。」
データスクレイピング
データ スクレイパーは、Facebook などのユーザー データを保持するプラットフォームのオープン ネットワーク API を悪用して、公開されている情報を抽出し、ユーザー プロファイルの大規模なデータベースを作成する自動化されたボットです。
ハッキングは関与しませんが、スクレイパーによって収集されたデータ セットを複数のポイント (サイト) からのデータと組み合わせて、ユーザーの完全なプロファイルを作成できるため、マーケティング担当者による追跡や脅威アクターによるターゲティングがより効果的になります。
しかし、Meta の場合、攻撃者は Facebook と Instagram の Contact Importer の欠陥を利用して、電話番号をこの公にスクレイピングされた情報にリンクし、個人情報と公開情報を含むプロファイルを作成できるようにしました。
スクレイピングはほとんどのオンライン プラットフォームのポリシーに違反していますが、最近TikTok と WeChatで強調されたように、これらのルールを適用することは技術的に複雑です。
LinkedIn は、プラットフォーム上でのデータ スクレイピングを防止するために訴訟を起こし、合法的なスクレイパー オペレーターに対する差し止め命令を確保し、すでに収集したデータをこの方法で使用することを禁止しました。
DPC は、多くのテクノロジー企業がアイルランドで事業を展開しているため、EU における GDPR コンプライアンスの先頭に立っていると考えられています。そのため、その決定は他のビッグデータ管理者に混乱を引き起こし、スクレイピング防止メカニズムの再評価を余儀なくさせることになります。
Comments