Meta Platforms, la empresa matriz de Facebook, Instagram, WhatsApp y Threads, ha sido multada con 251 millones de euros (alrededor de 263 millones de dólares) por una violación de datos en 2018 que afectó a millones de usuarios en el bloque, en lo que es el último golpe financiero que ha sufrido la empresa. tomado por desobedecer las estrictas leyes de privacidad.
La Comisión Irlandesa de Protección de Datos (DPC) dijo que la violación de datos afectó a aproximadamente 29 millones de cuentas de Facebook en todo el mundo, de las cuales aproximadamente 3 millones estaban basadas en la Unión Europea y el Espacio Económico Europeo (EEE). Vale la pena señalar que las estimaciones iniciales del gigante tecnológico habían fijado el número total de cuentas afectadas en 50 millones.
El incidente, que la compañía de redes sociales reveló en septiembre de 2018, surgió de un error que se introdujo en los sistemas de Facebook en julio de 2017, permitiendo a actores de amenazas desconocidos explotar la función “Ver como” que permite a un usuario ver su propio perfil como alguien. demás.
En última instancia, esto hizo posible obtener tokens de acceso a la cuenta, lo que permitió a los atacantes ingresar a las cuentas de las víctimas. Las categorías de datos personales afectados como resultado de la violación de seguridad incluyeron nombres completos de los usuarios, direcciones de correo electrónico, números de teléfono, ubicación, lugares de trabajo, fechas de nacimiento, religión, género, publicaciones en líneas de tiempo, grupos de los que eran miembros y datos personales de los niños.
“Un usuario que hace uso de [the View As] La función podría invocar el cargador de videos junto con la función ‘Happy Birthday Composer’ de Facebook”, dijo el DPC. dicho.
“Quien subió el video generaría un token de usuario con todos los permisos que le daría acceso completo al perfil de Facebook de ese otro usuario. Luego, un usuario podría usar ese token para explotar la misma combinación de características en otras cuentas, permitiéndole acceder a múltiples usuarios. ‘ perfiles y los datos accesibles a través de ellos.”
El organismo de control de la protección de datos también dijo que actores maliciosos aprovecharon scripts para explotar la falla entre el 14 y el 28 de septiembre de 2018 y obtener acceso no autorizado a 29 millones de cuentas de Facebook en todo el mundo. Desde entonces, Meta eliminó la funcionalidad que causó el problema.
Las multas se derivan de la violación de cuatro cláusulas diferentes de las leyes de privacidad de datos del RGPD, a saber Artículo 33, apartados 3 y 5, Artículo 25, apartado 1, y artículo 25, apartado 2 –
- No incluir en su notificación de incumplimiento toda la información que podría y debería haber incluido
- No documentar los hechos relacionados con cada incumplimiento, las medidas tomadas para remediarlos, y hacerlo de manera que permita a la Autoridad de Supervisión verificar el cumplimiento.
- No garantizar que los principios de protección de datos estuvieran protegidos en el diseño de los sistemas de procesamiento
- Incumplir sus obligaciones como responsable del tratamiento de garantizar que sólo se traten los datos personales que sean necesarios para finalidades específicas
“Esta acción de cumplimiento destaca cómo el hecho de no incorporar requisitos de protección de datos a lo largo del ciclo de diseño y desarrollo puede exponer a las personas a riesgos y daños muy graves, incluido un riesgo para los derechos y libertades fundamentales de las personas”, dijo el comisionado adjunto del DPC, Graham Doyle.
“Al permitir la exposición no autorizada de la información del perfil, las vulnerabilidades detrás de esta violación causaron un grave riesgo de uso indebido de este tipo de datos”.
Esta es la segunda multa de este tipo emitida por el DPC contra Meta, que recibió una multa de 91 millones de euros (101,5 millones de dólares) en septiembre de 2024 por un problema de seguridad en 2019 que implicó almacenar inadvertidamente las contraseñas de los usuarios en texto sin formato.
El desarrollo se produce cuando Meta también acordó un programa de pago de 50 millones de dólares australianos (31,5 millones de dólares) para llegar a un acuerdo con la Oficina del Comisionado de Información de Australia (OAIC) en relación con el uso indebido de la información personal de los usuarios para la elaboración de perfiles políticos y la orientación de anuncios a raíz de El escándalo de Cambridge Analytica de 2018.
El plan es elegible para personas que tuvieron una cuenta de Facebook entre el 2 de noviembre de 2013 y el 17 de diciembre de 2015; estuvieron presentes en Australia durante más de 30 días durante ese período; e instaló la aplicación This is Your Digital Life o era amigo de Facebook de una persona que instaló la aplicación.
se dice que 53 usuarios australianos de Facebook había instalado la aplicación, y 311.074 usuarios de Facebook podrían haber recibido su información personal solicitada por la aplicación como amigos de quienes la habían descargado.
El acuerdo ofrece dos niveles de pagos, un pago básico para quienes experimentaron preocupación o vergüenza generalizada debido a la fuga y un pago específico para quienes puedan demostrar que han sufrido pérdidas o daños. Se espera que el programa de pagos acepte solicitudes formalmente en el segundo trimestre de 2025.
“Representa una resolución sustancial de las preocupaciones de privacidad planteadas por el asunto de Cambridge Analytica, brinda a los australianos potencialmente afectados la oportunidad de buscar reparación a través del programa de pagos de Meta y pone fin a un largo proceso judicial”, dijo la comisionada de Información de Australia, Elizabeth Tydd. dicho.