جریمه ۲۶۳ میلیون دلاری متا به دلیل نقص امنیتی

به گزارش تجارت نیوز،

متا شرکت مادر فیس‌بوک، به دلیل نقص امنیتی بزرگی که در سال ۲۰۱۸ رخ داد و اطلاعات میلیون‌ها کاربر را در معرض خطر قرار داد، توسط کمیسیون حفاظت از داده ایرلند (DPC) جریمه‌ای به مبلغ ۲۶۳ میلیون دلار (حدود ۲۵۱ میلیون یورو) شد. این جریمه که تحت قوانین مقررات عمومی حفاظت از داده‌ها (GDPR) اتحادیه اروپا اعمال شده، بار دیگر توجهات را به کاستی‌های امنیتی شرکت‌های فناوری بزرگ جلب کرده است.

پشت پرده نقص امنیتی

به گزارش Tech Crunch، منشأ این مشکل به ژوئیه ۲۰۱۷ برمی‌گردد؛ زمانی که فیس‌بوک قابلیتی جدید برای آپلود ویدیو معرفی کرد که با ابزار «View As» ترکیب شده بود. ابزار View As به کاربران اجازه می‌داد صفحه پروفایل خود را از دید دیگران مشاهده کنند. اما یک باگ نرم‌افزاری باعث شد که این ابزار به شکل نادرستی با قابلیت «Happy Birthday Composer» در فیس‌بوک تعامل کند و به آپلودر ویدیو دسترسی دهد.

این نقص باعث شد توکن‌هایی تولید شود که به مهاجمان اجازه می‌داد کنترل کامل پروفایل‌های کاربران دیگر را به دست بگیرند. مهاجمان با استفاده از این توکن‌ها، توانستند همین فرآیند را روی حساب‌های بیشتری تکرار کنند. بین ۱۴ تا ۲۸ سپتامبر ۲۰۱۸، هکرها با اجرای اسکریپت‌هایی از این آسیب‌پذیری سوءاستفاده کرده و به اطلاعات حدود ۲۹ میلیون کاربر در سراسر جهان دسترسی پیدا کردند. از این تعداد ۳ میلیون کاربر در محدوده اتحادیه اروپا قرار داشتند که تحت صلاحیت کمیسیون حفاظت از داده ایرلند هستند.

ابعاد داده‌های فاش‌شده

• نام کامل کاربران
• آدرس‌های ایمیل
• شماره‌های تلفن
• مکان‌های زندگی
• محل کار
• تاریخ تولد
• مذهب
• جنسیت
• پست‌های منتشرشده در تایم‌لاین
• گروه‌هایی که عضو آن بودند
• اطلاعات شخصی کودکان

جریمه متا چقدر است؟

کمیسیون حفاظت از داده ایرلند در بررسی‌های خود دو تخلف عمده از سوی متا را تأیید کرد که هر کدام جریمه‌ای جداگانه در پی داشتند:

۱. گزارش‌دهی ناکافی نقض امنیت (۱۱ میلیون یورو جریمه):

طبق قوانین GDPR، شرکت‌ها موظف‌اند به‌سرعت و به‌طور جامع در مورد نقض‌های امنیتی گزارش دهند. کمیسیون حفاظت از داده اعلام کرد گزارش متا ناقص بود و شامل اطلاعات کلیدی نمی‌شد که می‌توانست و باید ارائه می‌شد.

۲. عدم حفاظت از داده‌ها در طراحی سیستم‌ها (۲۴۰ میلیون یورو جریمه):

طبق اصل «حفاظت از داده در طراحی» که در GDPR تاکید شده، شرکت‌ها باید از همان مراحل اولیه طراحی و توسعه محصولات، تدابیر امنیتی مناسبی را برای حفاظت از داده‌های کاربران در نظر بگیرند. کمیسیون حفاظت از داده ایرلند اعلام کرد که متا در این زمینه کوتاهی کرده و این سهل‌انگاری باعث بروز آسیب‌پذیری شده است.

واکنش‌ها و بیانیه‌های رسمی

گراهام دویل، معاون کمیسیون حفاظت از داده ایرلند، در بیانیه‌ای اهمیت این نقض را چنین توصیف کرد:

«این اقدام اجرایی نشان می‌دهد که چگونه نادیده‌گرفتن الزامات حفاظت از داده در چرخه طراحی و توسعه می‌تواند افراد را در معرض خطرات جدی و نقض حقوق اساسی قرار دهد… آسیب‌پذیری پشت این نقص امنیتی خطر سواستفاده از اطلاعات شخصی حساس را به‌شدت افزایش داد.»

در واکنش به این جریمه، سخنگوی متا اعلام کرد:

«این تصمیم به رویدادی در سال ۲۰۱۸ مربوط می‌شود. ما بلافاصله پس از شناسایی مشکل، اقدامات لازم را برای رفع آن انجام دادم و به کاربران آسیب‌دیده و کمیسیون حفاظت از داده ایرلند گزارش دادیم. ما طیف گسترده‌ای از تدابیر پیشرفته امنیتی برای حفاظت از کاربران خود به کار گرفته‌ایم.»

این نخستین جریمه بزرگ متا در اروپا نیست. تنها چند ماه پیش کمیسیون حفاظت از داده ایرلند بابت نگهداری پسوردهای کاربران به‌صورت متن ساده در سال ۲۰۱۹ این شرکت را به مبلغ ۹۱ میلیون یورو جریمه کرد.

این خبر می‌تواند یک درس بزرگ برای کل اکوسیستم فناوری پیامی روشن داشته باشد. حفاظت از داده‌های کاربران باید همیشه در اولویت باشد.

اخبار حوزه استارتاپ و فناوری اطلاعات را در صفحه علم و فناوری تجارت‌نیوز بخوانید.