La comisión irlandesa de protección de datos (DPC) multó a Meta con 265 millones de euros (275.5 millones de dólares) por una fuga masiva de datos de Facebook en 2021 que expuso la información de cientos de millones de usuarios en todo el mundo.
Esto concluye la investigación del DPC sobre posibles violaciones de GDPR por parte de Meta, iniciada el 14 de abril de 2021, luego de la publicación de datos pertenecientes a 533 millones de usuarios de Facebook en un foro de piratas informáticos.
Los datos expuestos incluían información personal, como números de teléfono móvil, ID de Facebook, nombres, sexos, ubicaciones, estados de relación, ocupaciones, fechas de nacimiento y direcciones de correo electrónico.
Todos estos datos se compartieron en un conocido foro de piratería, lo que permitió que los actores de amenazas utilizaran los datos para ataques dirigidos.
Facebook en ese momento dijo que los actores de amenazas recopilaron los datos explotando una falla en su herramienta «Importador de contacto» para asociar números de teléfono con una identificación de Facebook y luego recopilando el resto de la información para crear un perfil para el usuario.
La plataforma dijo que había solucionado el error en 2019 y que los datos se recopilaron antes de eso.
La investigación de DPC concluyó que Meta (entonces Facebook) infringió los artículos 25(1) y 25(2) del RGPD, que se resumen a continuación:
- 25(1) – El controlador de datos implementará las medidas técnicas y organizativas apropiadas, como la seudonimización, e integrará las garantías necesarias en el procesamiento para cumplir con los requisitos de este Reglamento y proteger los derechos de los interesados.
- 25(2) – El controlador implementará las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se procesen los datos personales necesarios para cada propósito de procesamiento. En particular, tales medidas garantizarán que, por defecto, los datos personales no sean accesibles sin la intervención del individuo a un número indefinido de personas físicas.
Nagios es un poderoso sistema de administración de TI y un paquete de software de monitoreo de TI que permite a las organizaciones identificar y resolver problemas de infraestructura de TI antes de que afecten los procesos comerciales críticos.
Conocer..
“Hubo un proceso de investigación integral, incluida la cooperación con todas las demás autoridades de supervisión de protección de datos dentro de la UE”, se lee en el anuncio de DPC .
“Esas autoridades de control estuvieron de acuerdo con la decisión de la DPC”.
Raspado de datos
Los raspadores de datos son bots automatizados que explotan las API de red abierta de plataformas que contienen datos de usuarios, como Facebook, para extraer información disponible públicamente y crear bases de datos masivas de perfiles de usuarios.
Si bien no se trata de piratería, los conjuntos de datos recopilados por los raspadores se pueden combinar con datos de múltiples puntos (sitios), creando perfiles completos en los usuarios, lo que hace que el seguimiento de los vendedores o la orientación de los actores de amenazas sea mucho más efectivo.
Sin embargo, en el caso de Meta, los actores de amenazas utilizaron una falla en Contact Importer en Facebook e Instagram para vincular números de teléfono con esta información extraída públicamente, lo que les permitió crear perfiles que contenían información pública y privada.
El raspado va en contra de las políticas de la mayoría de las plataformas en línea, pero hacer cumplir estas reglas es técnicamente complicado, como se destacó recientemente con TikTok y WeChat.
LinkedIn llevó las cosas a los tribunales para evitar el raspado de datos en la plataforma, asegurando una orden judicial contra los operadores de raspadores legales y evitando que usen los datos que ya recopilaron de esta manera.
El DPC se considera la punta de lanza del cumplimiento de GDPR en la UE debido a que muchas empresas tecnológicas operan desde Irlanda, por lo que su decisión creará turbulencias para otros controladores de big data, obligándolos a reevaluar sus mecanismos anti-scraping.
Fuente: thehackernews
Si te ha gustado, ¡compártelo con tus amigos!
