Facebook因泄露5.33亿用户隐私被罚款2.65亿欧元2.65亿欧元(约合人民币20亿元)的巨额罚款。2021年4月,黑客向黑客论坛泄露了5.33亿Facebook用户的私人数据,包括手机号码、FacebookID、姓名、性别、位置、关系、职业、出生日期和电子邮件地址。2021年4月14日,DPC正式对Meta可能违反《通用数据保护条例》(GDPR)的行为展开调查。Facebook当时表示,黑客通过利用其ContactImporter工具中的一个缺陷将电话号码链接到FacebookID,然后抓取其余部分来为用户建立个人资料来收集数据。Facebook表示,在黑客窃取数据后,该漏洞已于2019年得到修复。根据DPC的调查结果,Meta违反了GDPR第25条第1条和第2条:25.1数据控制者应采取适当的技术和管理措施,例如对数据进行假名化并在处理过程中加入必要的保护措施,以满足本规定并保护数据主体的权利。25.2数据控制者应使用适当的技术和管理措施,以确保在默认情况下仅使用处理目的所需的个人数据。应特别注意此类措施应确保在默认情况下不允许个人干预,而个人数据仅提供给有限数量的自然人。数据抓取数据抓取器是一种自动化机器人工具,它利用保存用户数据的平台(例如Facebook)的开放WebAPI来提取公开信息并创建大型用户配置文件数据库。虽然不是黑客攻击,但爬虫收集的数据集可以与来自多个点(站点)的数据相结合,以创建完整的用户画像,让黑客能够更准确、更有效地瞄准目标。在Meta的案例中,黑客利用Facebook和Instagram上ContactImporter的一个缺陷将电话号码与这些公开收集的信息相关联,从而允许他们创建包含个人和公共信息的配置文件。由于许多科技公司在爱尔兰开展业务,DPC被认为是欧盟GDPR合规的先锋,因此其决定势必会对其他处理大量数据的企业产生影响,迫使他们重新评估其反抓取机制。参考来源:https://www.bleepingcomputer.com/news/security/meta-fined-265m-for-not-protecting-facebook-users-data-from-scrapers/
