Facebook’un ihlal zamanlamasının geç ifşası, GDPR uyumluluğu sorularını gündeme getiriyor – TechCrunch

0
16

Facebook’un en son devasa tarihsel platform gizliliğine ilişkin herhangi bir düzenleyici yaptırımla karşı karşıya olup olmayacağı sorusu gün ışığına çıkamadı. Ancak olayın zaman çizelgesi, teknoloji devi için giderek daha tuhaf görünüyor.

Başlangıçta Business Insider tarafından hafta sonu yayınlanan veri ihlali ifşaatlarını, insanların doğum tarihleri ​​ve telefon numaraları gibi bilgilerin “eski” olduğunu öne sürerek hafifletmeye çalışırken, teknoloji devi dün geç saatlerde bir blog gönderisinde nihayet söz konusu verilerin ortaya çıktığını açıkladı. aslında “2019’da” ve “Eylül 2019’dan önce” kötü niyetli aktörler tarafından platformundan çıkarılmıştı.

Bu olayın zamanlamasına ilişkin bu yeni ayrıntı, Mayıs 2018’de uygulamaya giren Avrupa Genel Veri Koruma Yönetmeliği’ne (GDPR) uyum konusunu gündeme getiriyor.

AB yönetmeliğine göre veri denetleyicileri, ihlalleri bildirmedeki başarısızlıklar nedeniyle küresel yıllık cirolarının% 2’sine ve daha ciddi uyum ihlalleri için yıllık cirolarının% 4’üne kadar para cezasına çarptırılabilir.

Avrupa çerçevesi önemli görünüyor çünkü Facebook, Temmuz 2019’da 5BN $ karşılığında FTC ile anlaştığında ABD’deki tarihi gizlilik sorunlarına karşı kendini tazmin etti – ancak bu hala birkaç ay (Haziran – Eylül 2019) düşebileceği anlamına geliyor. bu yerleşim dışında.

Dün, ihlal açıklamalarına yanıt veren kendi açıklamasında, Facebook’un AB’deki önde gelen veri sorumlusu, yeni yayınlanan veri kümesinin kaynağının tamamen net olmadığını belirterek, “orijinal 2018 (GDPR öncesi) veri kümesini oluşturuyor gibi görünüyor” dedi. – Facebook’un 2018’de ifşa ettiği ve Haziran 2017 ile Nisan 2018 arasında meydana geldiğini söylediği telefon arama işlevindeki bir güvenlik açığıyla ilgili daha önceki bir ihlal olayına atıfta bulunarak – ancak aynı zamanda yeni yayınlanan veri setinin de “ek daha sonraki bir döneme ait olabilecek kayıtlar ”.

Facebook, bu şüpheyi doğrulayarak İrlanda Veri Koruma Komisyonu’nun (DPC) açıklamasını takip etti – verilerin 2019’da platformundan o yılın Eylül ayına kadar çıkarıldığını kabul etti.

Dün Facebook’un blog gönderisinde ortaya çıkan bir başka yeni ayrıntı da, kullanıcıların verilerinin yukarıda bahsedilen telefon arama güvenlik açığı yoluyla değil, tamamen başka bir yöntemle kazınmış olmasıydı: Temas ithalatçı aracı güvenlik açığı.

Bu rota, bilinmeyen sayıda “kötü niyetli aktörün”, Facebook’un uygulamasını taklit etmek için yazılım kullanmasına ve hangilerinin Facebook kullanıcılarıyla eşleştiğini görmek için büyük telefon numarası kümeleri yüklemesine izin verdi.

Bu şekilde, bir spam gönderen (örneğin), potansiyel telefon numaralarının bir veritabanını yükleyebilir ve bunları yalnızca adlara değil, aynı zamanda doğum tarihi, e-posta adresi, konum gibi diğer verilere de bağlayabilir – daha da iyisi sizi kimlik avına çıkarabilir.

Facebook, ihlale PR yanıtında, bu güvenlik açığını Ağustos 2019’da düzelttiğini hızlı bir şekilde iddia etti. Ancak yine, bu zamanlama, olayı doğrudan GDPR’nin aktif olduğu döneme yerleştiriyor.

Bir hatırlatma olarak, Avrupa’nın veri koruma çerçevesi, veri denetleyicilerinin, kişisel veri kaybının, kullanıcıların hakları ve özgürlükleri için bir risk oluşturacağına inanmaları durumunda ilgili bir denetim makamına bildirimde bulunmalarını gerektiren bir veri ihlali bildirim rejimine sahiptir ve bunu yapar. gereksiz gecikmeler olmadan (ideal olarak bunun farkına vardıktan sonraki 72 saat içinde).

Yine de Facebook, bu olayı DPC’ye açıklamadı. Nitekim, düzenleyici kurum, BI raporunun ardından Facebook’tan proaktif olarak bilgi almak zorunda olduğunu dün açıkça belirtti. Bu, AB milletvekillerinin düzenlemenin işlemesini amaçladığının tam tersidir.

Bu arada veri ihlalleri, genel olarak GDPR kapsamında tanımlanmaktadır. Kişisel verilerin kaybolması veya çalınması ve / veya yetkisiz üçüncü şahıslar tarafından erişilmesi anlamına gelebilir. Ayrıca, kişisel verileri ifşa eden bir veri denetleyicisinin kasıtlı veya kazara eylemi veya eylemsizliği ile ilgili olabilir.

İhlale bağlı yasal risk, Facebook’un, yarım milyardan fazla kullanıcının kişisel bilgilerinin çevrimiçi bir forumda ücretsiz indirilmek üzere bir ‘ihlal’ olarak yayınlandığı bu son veri koruma hatasını açıklamaktan neden titizlikle kaçındığını muhtemelen açıklıyor.

Ve gerçekten de, neden sızdırılan bilginin önemini küçümsemeye çalışılıyor – insanların kişisel bilgilerini “eski veriler” olarak adlandırıyor. (Çok az insan düzenli olarak cep telefonu numaralarını, e-posta adreslerini, tam adlarını ve biyografik bilgilerini vb. Değiştirse ve hiç kimse (yasal olarak) yeni bir doğum tarihi almasa bile…)

Bunun yerine blog yazısı, kazınan verilere atıfta bulunur; ve “çevrimiçi forumlarda dağıtılmaya kadar gidebilecek halka açık bilgileri internetten kaldırmak için genellikle otomatikleştirilmiş yazılıma dayanan yaygın bir taktik” – zımni bir şekilde, iletişim ithalatçı aracıyla sızan kişisel bilgilerin bir şekilde halka açık olduğunu ima eden yaygın bir taktik.

Facebook tarafından burada pazarlanan kendi kendine hizmet eden öneri, yüz milyonlarca kullanıcının hem Facebook profillerinde cep telefonu numaraları gibi hassas bilgiler yayınlamış hem de hesaplarında varsayılan ayarları bırakmış olması ve böylece bu kişisel bilgilerin ‘kazıma / artık özel değil / veri koruma mevzuatı tarafından ele geçirilmemiş ‘.

Bu, insanların haklarına ve mahremiyetine şiddetle düşman olduğu kadar açık bir şekilde saçma bir argümandır. Ayrıca, AB veri koruma düzenleyicilerinin, Facebook’un (ab) düzenleyicilerin tek amacının savunmak ve sürdürmek olduğu temel hakları yakmak için pazar gücünü kullanmasına izin vermek için hızlı ve kesin bir şekilde reddetmesi veya buna suç ortağı olması gerektiği de bir argümandır.

Bu ihlalden etkilenen bazı Facebook kullanıcıları, Facebook’un gizlilik-düşmanca varsayılanlarını değiştirmedikleri için iletişim ithalatçı aracı aracılığıyla bilgilerini ifşa etseler bile, bu hala GPDR uyumluluğuyla ilgili temel soruları gündeme getiriyor – çünkü düzenleme ayrıca veri denetçilerinin kişisel verileri yeterince güvence altına almasını gerektiriyor ve gizliliği tasarım ve varsayılan olarak uygulayın.

Facebook, yüz milyonlarca hesabın bilgilerinin spam gönderenler (veya herhangi biri) tarafından özgürce yağmalanmasına izin veriyor, kulağa iyi bir güvenlik veya varsayılan gizlilik gibi gelmiyor.

Kısacası, Cambridge Analytica skandalı yeniden ortaya çıktı.

Facebook, geçmişte çok kötü olduğu için gizlilik ve veri korumada korkunç olmaya devam etmekten kurtulmaya çalışıyor ve muhtemelen bu taktiğe devam etme konusunda kendinden emin hissediyor çünkü sonsuz bir veri geçit töreni için nispeten az düzenleyici yaptırımla karşı karşıya. skandallar. (Bir şirket için yıllık gelirde 85BN $ ‘dan fazla ciro yapan bir kereye mahsus 5BN $’ lık FTC cezası sadece başka bir işletme gideridir.)

Facebook’a, 2019’daki bu ihlal hakkında neden DPC’ye bildirimde bulunmadığını sorduk, insanların bilgilerinin bir kez daha kendi platformundan kötü niyetli bir şekilde çıkarıldığını fark ettiğinde – ya da aslında neden etkilenen Facebook kullanıcılarına kendilerinin söyleme zahmetine girmediğini – ancak şirket dün söylediklerinin ötesinde yorum yapmayı reddetti.

Sonra bize düzenleyicilerle olan iletişimleri hakkında yorum yapmayacağını söyledi.

GDPR uyarınca, bir ihlal, kullanıcıların hakları ve özgürlükleri için yüksek bir risk oluşturuyorsa, etkilenen bireyleri bilgilendirmesi için bir veri denetleyicisine ihtiyaç duyulur – bir tehdidin derhal bildirilmesi, insanların kendilerini risklerinden korumak için adımlar atmasına yardımcı olabilir. dolandırıcılık ve kimlik hırsızlığı gibi ihlal edilen veriler.

Facebook dün de kullanıcıları bilgilendirme planları olmadığını söyledi.

Belki de şirketin ticari markası ‘başparmak yukarı’ sembolü, diğer herkese kaldırılan orta parmak olarak daha uygun bir şekilde ifade edilir.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz