5.33億用戶數據泄露，Meta被罰2.65億美元

近日，Meta被愛爾蘭數據保護委員會(DPC)罰款2.65億歐元，原因是2021年Facebook遭遇爬蟲攻擊發生大規模數據泄露，暴露了全球數億用戶的個人信息。

2021年4月14日，5.33億Facebook用戶的數據被發布在一個著名的黑客論壇，暴露的數據包括個人信息，例如手機號碼、Facebook ID、姓名、性別、位置、關系狀態、職業、出生日期和電子郵件地址。DPC隨即對Meta啟動了GDPR違規調查。

據Facebook透露，黑客通過利用其“Contact Importer”工具中的一個漏洞將用戶電話號碼與Facebook ID相關聯，然后抓取其余信息來為用戶建立個人資料。

Facebook表示已在2019年修復了該漏洞，數據泄露是漏洞修復之前發生的。

DPC的調查認定，Meta（當時的Facebook）違反了GDPR第25(1)和25(2)條，總結如下：

• 25(1)-數據控制者應采取適當的技術和組織措施，例如假名化，并將必要的保障措施納入處理過程，以滿足本條例的要求并保護數據主體的權利。
• 25(2)-控制者應采取適當的技術和組織措施，以確保默認情況下僅處理每個處理目的所需的個人數據。特別是，此類措施應確保在默認情況下，個人數據不會在沒有個人干預的情況下被無限數量的自然人訪問。

導致Facebook大規模數據泄露的“爬蟲”是一種自動化機器人，可利用平臺（如Facebook）的開放網絡API來提取公開信息并創建大量用戶資料數據庫。

雖然不涉及黑客攻擊，但爬蟲收集的數據集可以與來自多個站點的數據相結合，創建完整的用戶檔案，從而使營銷人員或不法分子能夠更加精準地跟蹤用戶。

深受爬蟲困擾的互聯網平臺不僅僅是Facebook，LinkedIn最近也將爬蟲行為告上法庭，試圖阻止平臺上的數據被抓取。

由于許多科技公司在愛爾蘭運營，DPC被認為是歐盟GDPR合規的先鋒，因此Meta的巨額罰金勢必會給其他大數據平臺帶來震撼，迫使他們重新評估其反抓取機制。