Facebook грозит 1,5-миллиардный штраф за утечку данных 50 млн пользователей

Грядущий штраф От Facebook могут потребовать уплаты штрафа в размере $1,63 млрд в связи с компрометацией данных 50 млн пользователей, о которой стало известно в пятницу, 28 сентября 2018 г. Основанием для наложения штрафа может послужить нарушение «Общего регламента по защите данных» (GDPR) — европейского закона, вступившего в силу в мае 2018 г. и регулирующего вопросы приватности пользователей, пишет Wall Street Journal. В нарушении GDPR Facebook подозревает ирландская Комиссия по защите данных (Data Protection Commission, DPC). Напомним, именно в Ирландии находится главный европейский офис Facebook. Комиссия запросила у компании более подробную информацию о масштабах утечки и о том, как она отразилась на данных европейских пользователей. DPC выражает беспокойство по поводу того, что соцсеть пока что не смогла внятно ответить на вопросы о характере утечки и возможной опасности для пользователей. Согласно GDPR, если технологическая компания принимает недостаточные меры по защите данных пользователей, она может быть оштрафована на 4% годовой выручки. На основании выручки Facebook за 2017 г. Wall Street Journal делает выводы, что штраф может достичь $1,63 млрд. По просьбе издания соцсеть сообщила, что собирается ответить на вопросы DPC, а также поставлять регулятору информацию о расследовании по ходу его продвижения. Также по GDPR компанию следует оштрафовать на 2%, если она не сообщает об инциденте, связанном с безопасностью, в течение 72 часов. Но это требование Facebook выполнила: компания узнала об утечке 25 сентября, а сообщила — 28 сентября, хотя в сообщении и отсутствовали подробности. Утечка данных в Facebook Напомним, 25 сентября 2018 г. Facebook установил факт атаки на свои сети, которая затронула пользователей, просматривавших собственные страницы с помощью функции «Посмотреть как». Функция позволяет увидеть страницу «чужими глазами» — в том виде, в каком она отображается для кого-либо из других пользователей. Уязвимость этой функции позволила хакерам скомпрометировать почти 50 млн учетных записей Facebook. Facebook могут оштрафовать на 4% годовой выручки Как пояснила Facebook в официальном заявлении, баг дал возможность злоумышленникам украсть токены доступа, которые в дальнейшем можно было использовать для захвата аккаунтов. Токены доступа эквивалентны цифровым ключам, благодаря которым пользователь может оставаться залогиненным в соцсети, не вводя каждый раз заново пароль. Компания ликвидировала уязвимость, временно отключила функцию «Посмотреть как» и переустановила токены доступа для всех 50 млн скомпрометированных аккаунтов. Кроме того, на всякий случай инженеры Facebook переустановили токены еще для 40 млн аккаунтов — тех, пользователи которых хоть раз за последний год использовали функцию «Посмотреть как». В результате 90 млн пользователей придется заново ввести свои логин и пароль для входа в соцсеть. Залогинившись заново, они найдут в своей ленте публикацию с объяснением от компании. Пароли Facebook менять не требует. Facebook также сообщил, что расследование инцидента пока что находится на начальной стадии поэтому компания не может сказать точно, были ли какие-либо аккаунты действительные использованы со злым умыслом, и получили ли преступники доступ к какой-нибудь информации. Также у Facebook нет данных, кто произвел атаку, и где базируются эти лица. Технические особенности Facebook поясняет, что уязвимость представляет собой целый набор особенностей в программном коде, который уходит корнями к изменениям, внесенным в механизм загрузки видео в июле 2017 г. Функция «Посмотреть как» должна быть всего лишь функцией просмотра, но один из механизмов загрузки контента в соцсети — а именно, тот, который дает пользователям возможность поздравить друзей с днем рождения — некорректным образом привязал к этой функции интерфейс с возможностью запостить видео. Кроме того, новая версия загрузчика видео — того самого, который отображается из-за описанной выше проблемы — в результате другой ошибки генерирует токены доступа, с помощью которых можно получить доступ к мобильному приложению. Третьей проблемой является то, что когда загрузчик отображается в «Посмотреть как», он генерирует токены не того пользователя, который применяет эту функцию на своей странице, а того человека, от лица которого страница просматривается. Токены сохраняются в HTML-коде страницы, откуда их можно извлечь. Ссылка на источник