جریمه ۲۶۳ میلیون دلاری متا به دلیل نقص امنیتی

به گزارش تجارت نیوز،

متا، شرکت مادر فیس‌بوک، به دلیل نقص امنیتی بزرگی که در سال ۲۰۱۸ رخ داد و اطلاعات میلیون‌ها کاربر را در معرض خطر قرار داد، از سوی کمیسیون حفاظت از داده ایرلند (DPC) به مبلغ ۲۶۳ میلیون دلار (حدود ۲۵۱ میلیون یورو) جریمه شد. این جریمه که تحت قوانین مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا اعمال شده، بار دیگر توجه‌ها را به کاستی‌های امنیتی شرکت‌های فناوری بزرگ جلب کرده است.

پشت پرده نقص امنیتی

به گزارش Tech Crunch، منشاء این مشکل به جولای ۲۰۱۷ برمی‌گردد؛ زمانی که فیس‌بوک قابلیتی جدید برای آپلود ویدیو معرفی کرد که با ابزار «View As» ترکیب شده بود. ابزار View As به کاربران اجازه می‌داد صفحه پروفایل خود را از دید دیگران مشاهده کنند. اما یک باگ نرم‌افزاری باعث شد این ابزار به شکل نادرستی با قابلیت «Happy Birthday Composer» در فیس‌بوک تعامل کند و به آپلودر ویدئو دسترسی دهد.

این نقص باعث شد توکن‌هایی تولید شود که به مهاجمان اجازه می‌داد کنترل کامل پروفایل‌های کاربران دیگر را در دست بگیرند. مهاجمان با استفاده از این توکن‌ها، توانستند همین فرایند را روی حساب‌های بیشتری تکرار کنند. بین ۱۴ تا ۲۸ سپتامبر ۲۰۱۸، هکرها با اجرای اسکریپت‌هایی از این آسیب‌پذیری سوءاستفاده و به اطلاعات حدود ۲۹ میلیون کاربر در سراسر جهان دسترسی پیدا کردند. از این تعداد سه میلیون کاربر در محدوده اتحادیه اروپا حضور داشتند که تحت صلاحیت کمیسیون حفاظت از داده ایرلند هستند.

ابعاد داده‌های فاش‌شده

• نام کامل کاربران
• آدرس‌های ایمیل
• شماره‌های تلفن
• مکان‌های زندگی
• محل کار
• تاریخ تولد
• مذهب
• جنسیت
• پست‌های منتشرشده در تایم‌لاین
• گروه‌هایی که عضو آن بودند
• اطلاعات شخصی کودکان.

جریمه متا چقدر است؟

کمیسیون حفاظت از داده ایرلند در بررسی‌های خود دو تخلف عمده از سوی متا را تایید کرد که هر کدام جریمه‌ای جداگانه در پی داشتند:

۱. گزارش‌دهی ناکافی نقض امنیت (۱۱ میلیون یورو جریمه):

طبق قوانین GDPR، شرکت‌ها موظف‌اند به‌سرعت و به‌ طور جامع نقض‌های امنیتی را گزارش دهند. کمیسیون حفاظت از داده اعلام کرد گزارش متا ناقص بود و شامل اطلاعات کلیدی نمی‌شد که می‌توانست و باید ارائه می‌شد.

۲. حفاظت نکردن از داده‌ها در طراحی سیستم‌ها (۲۴۰ میلیون یورو جریمه):

طبق اصل «حفاظت از داده در طراحی» که در GDPR قید شده، شرکت‌ها باید از همان مراحل اولیه طراحی و توسعه محصولات، تدابیر امنیتی مناسبی برای حفاظت از داده‌های کاربران تدارک ببینند. کمیسیون حفاظت از داده ایرلند اعلام کرد متا در این زمینه کوتاهی کرده و این سهل‌انگاری باعث بروز آسیب‌پذیری شده است.

واکنش‌ها و بیانیه‌های رسمی

گراهام دویل، معاون کمیسیون حفاظت از داده ایرلند، در بیانیه‌ای اهمیت این نقض را چنین توصیف کرد:

«این اقدام اجرایی نشان می‌دهد چگونه نادیده‌ گرفتن الزامات حفاظت از داده در چرخه طراحی و توسعه می‌تواند افراد را در معرض خطرات جدی و نقض حقوق اساسی قرار دهد… آسیب‌پذیری پشت این نقص امنیتی خطر سوءاستفاده از اطلاعات شخصی حساس را به‌شدت افزایش داد.»

در واکنش به این جریمه، سخنگوی متا اعلام کرد:

«این تصمیم به رویدادی در سال ۲۰۱۸ مربوط می‌شود. ما بلافاصله پس از شناسایی مشکل، اقدامات لازم را برای رفع آن انجام و به کاربران آسیب‌دیده و کمیسیون حفاظت از داده ایرلند گزارش دادیم. ما طیف گسترده‌ای از تدابیر پیشرفته امنیتی را برای حفاظت از کاربران خود به کار گرفته‌ایم.»

این نخستین جریمه بزرگ متا در اروپا نیست. تنها چند ماه پیش کمیسیون حفاظت از داده ایرلند بابت نگهداری پسوردهای کاربران در قالب متن ساده در سال ۲۰۱۹ این شرکت را به مبلغ ۹۱ میلیون یورو جریمه کرد.

این خبر می‌تواند برای کل اکوسیستم فناوری پیامی روشن داشته باشد: حفاظت از داده‌های کاربران باید همیشه در اولویت باشد.

اخبار حوزه استارتاپ و فناوری اطلاعات را در صفحه علم و فناوری تجارت‌نیوز بخوانید.