2021年4月，黑客將5.33億Facebook用戶隱私數(shù)據(jù)泄露至黑客論壇，其中包括了手機(jī)號碼、Facebook ID、姓名、性別、位置、人物關(guān)系、職業(yè)、出生日期和電子郵件地址。DPC 于 2021 年 4 月 14 日正式啟動了對 Meta 可能違反 《通用數(shù)據(jù)保護(hù)條例》（GDPR ）的 調(diào)查。

Facebook 當(dāng)時表示，黑客通過利用Contact Importer工具中的一個缺陷將電話號碼與 Facebook ID 關(guān)聯(lián)，然后抓取其余信息來為用戶建立個人資料來收集數(shù)據(jù)。Facebook表示該漏洞已在2019年修復(fù)，黑客在此之前竊取了數(shù)據(jù)。

根據(jù)DPC 的調(diào)查結(jié)論，Meta違反了 GDPR 第 25章第1及第2條：

25.1 數(shù)據(jù)控制者應(yīng)實(shí)施適當(dāng)?shù)募夹g(shù)和管理措施，比如將數(shù)據(jù)進(jìn)行假名化，并在處理過程中納入必要的保障措施，以滿足本規(guī)定的要求并保護(hù)數(shù)據(jù)主體的權(quán)利。

25.2 數(shù)據(jù)控制者應(yīng)該使用適當(dāng)?shù)募夹g(shù)及管理措施，來保證在默認(rèn)情況下，僅使用處理目的所必要的個人數(shù)據(jù)。 特別注意這類措施應(yīng)應(yīng)確保在默認(rèn)情況下，不應(yīng)允許任何個人干預(yù)，同時只向有限數(shù)量的自然人提供個人數(shù)據(jù)。

數(shù)據(jù)抓取

數(shù)據(jù)抓取器是一種自動化機(jī)器人工具，能利用 Facebook 等保存用戶數(shù)據(jù)平臺的開放網(wǎng)絡(luò) API 來提取公開信息并創(chuàng)建大量用戶資料數(shù)據(jù)庫。

雖然不涉及黑客攻擊，但爬蟲收集的數(shù)據(jù)集可以與來自多個點(diǎn)（站點(diǎn)）的數(shù)據(jù)相結(jié)合，創(chuàng)建完整的用戶檔案，從而使黑客的攻擊目標(biāo)更加精準(zhǔn)有效。在 Meta 的案例中，黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一個缺陷將電話號碼與這些公開收集的信息相關(guān)聯(lián)，從而允許他們創(chuàng)建包含個人和公共信息的配置文件。

由于許多科技公司在愛爾蘭運(yùn)營，DPC 被認(rèn)為是歐盟 GDPR 合規(guī)的先鋒，因此其決定勢必會給其他掌控大量數(shù)據(jù)的企業(yè)帶來影響，迫使他們重新評估其反抓取機(jī)制。

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明