脸书16亿欧洲罚单。Facebook周五发布了大规模攻击事件,其中攻击者获得至少5000万个账户的访问权限,绕过安全措施并可能让他们完全控制这些配置文件和链接应用程序,据《尔街日报》报道,可能面临欧盟16.3亿美元罚款的威胁。
该漏洞利用网站的“View As”和视频上传功能中的漏洞来获取对帐户的访问权限,迫使Facebook为5000万用户重置访问令牌,并将其重置为4000万用户作为预防措施。 (这意味着,如果你退出设备,则受到影响。)据《纽约时报》报道,Facebook尚未说出攻击者是否试图从受影响的配置文件中提取数据,但产品管理副总裁Guy Rosen告诉记者,他们曾试图收集来自Facebook系统的私人信息。Rosen还表示,Facebook无法确定第三方应用程序可能被破坏的程度。
目前尚不清楚攻击者是否可以像报道的那样访问网络上存储的最敏感信息。 Facebook表示,这次攻击非常复杂,自己的反应还处于早期阶段,可能永远都不知道背后是谁。当Gizmodo本周末联系了更多细节时,一位Facebook代表重申了他们之前关于这次攻击的声明,其中仅包含以前提供的详细信息。
据《华尔街日报》报道,欧盟最重要的Facebook隐私监管机构爱尔兰数据保护委员会也在努力了解究竟发生了什么:
爱尔兰数据保护委员会是Facebook在欧洲的主要隐私监管机构,该委员会周六表示,已要求该公司提供更多有关违规行为的性质和规模的信息,包括欧盟居民可能受到的影响。
在一份电子邮件声明中,监管机构表示,它“关注这一漏洞是在周二被发现并影响数百万用户账户的事实,但Facebook无法澄清漏洞的性质以及用户此时的风险。”
《华尔街日报》写道,根据欧洲最近颁布的“通用数据隐私条例”,这一违规行为可能会触发最高罚款,法规要求的罚款是该公司去年全球收入的4%。这将是16.3亿美元:
“根据GDPR,对保护用户数据做得不够的公司,最高可能会被罚款2000万欧元(2300万美元),或公司去年全球年收入的4%,以较高者为准。按更高地计算,Facebook的最高罚款将达到16.3亿美元。”
该法律还要求公司在72小时内通知监管机构违规行为,并面临最高罚款2%的威胁。
正如《华尔街日报》所指出的那样,欧洲监管机构还没有使用GDPR来征收罚款,还有待观察是否会采用最高罚款还是任何其他罚款,特别是如果确定Facebook在遭到攻击前“采取适当措施保护其用户数据”和“合作或至少部分合规”。然而,GDPR包含了一些建议,公司尽可能少的存储用户数据,可能使Facebook承担更高的责任。该报补充说,欧盟委员会最近还要求Facebook更好地向用户披露“他们的数据如何被使用或在几个国家面临消费者保护制裁”。
在美国,没有相当于GDPR的情况,这种事件的罚款可能性更小。 Facebook仍面临着美国联邦贸易委员会的一项调查,该调查涉及包括剑桥分析丑闻在内的多起数据泄露事件,以及影响其22亿用户的数据搜集事件,违反了2011年关于用户隐私的同意令,这可能导致创纪录的10多亿美元罚款。目前还不清楚目前的攻击事件在调查中可以扮演什么角色,但是FTC的负责人Rohit Chopra发了推文“我想要答案”。