Facebook, Instagram, WhatsApp ve Threads'in ana şirketi olan Meta Platforms, bloktaki milyonlarca kullanıcıyı etkileyen 2018 yılındaki veri ihlali nedeniyle 251 milyon avro (yaklaşık 263 milyon dolar) para cezasına çarptırıldı. Bu, şirketin katı gizlilik yasalarını ihlal etmesi nedeniyle aldığı son mali darbe oldu.
İrlanda Veri Koruma Komisyonu (DPC), veri ihlalinin dünya çapında yaklaşık 29 milyon Facebook hesabını etkilediğini ve bunların yaklaşık 3 milyonunun Avrupa Birliği ve Avrupa Ekonomik Alanı'nda (AEA) bulunduğunu söyledi. Teknoloji devinin ilk tahminlerinin etkilenen toplam hesap sayısının 50 milyon olduğunu belirtmekte fayda var.
Sosyal medya şirketinin Eylül 2018'de açıkladığı olay , Facebook'un sistemlerine Temmuz 2017'de eklenen bir hatadan kaynaklanıyor. Bu hata, bilinmeyen tehdit aktörlerinin, bir kullanıcının kendi profilini başkası olarak görmesini sağlayan "Başkasının Gözünden Gör" özelliğini suistimal etmesine olanak tanıyor.
nihayetinde hesap erişim belirteçlerinin elde edilmesini mümkün kıldı ve saldırganların kurban hesaplarına girmesine olanak tanıdı. Güvenlik ihlali sonucunda etkilenen kişisel veri kategorileri arasında kullanıcıların tam adları, e-posta adresleri, telefon numaraları, konumları, çalışma yerleri, doğum tarihleri, dinleri, cinsiyetleri, zaman çizelgelerindeki gönderileri, üyesi oldukları gruplar ve çocukların kişisel verileri yer aldı.
DPC, "[Görüntüle] özelliğini kullanan bir kullanıcı, Facebook'un 'Doğum Günün Kutlu Olsun Bestecisi' özelliğiyle birlikte video yükleyicisini çağırabilir" dedi.
"Video yükleyici daha sonra, kendisine diğer kullanıcının Facebook profiline tam erişim sağlayan tam izinli bir kullanıcı belirteci üretecektir. Bir kullanıcı daha sonra bu belirteci diğer hesaplarda aynı özellik kombinasyonunu kullanmak için kullanabilir ve bu sayede birden fazla kullanıcının profiline ve bunlar aracılığıyla erişilebilen verilere erişebilir."
Veri koruma gözlemcisi ayrıca kötü niyetli aktörlerin 14-28 Eylül 2018 tarihleri arasında açığı istismar etmek için betikler kullandığını ve dünya çapında 29 milyon Facebook hesabına yetkisiz erişim elde ettiğini söyledi. Meta o zamandan beri soruna neden olan işlevi kaldırdı.
Para cezaları, GDPR veri gizliliği yasaları kapsamındaki dört farklı maddenin ihlaline dayanmaktadır: Madde 33(3), Madde 33(5) , Madde 25(1) ve Madde 25(2) -
- İhlal bildirimine dahil edebileceği ve dahil etmesi gereken tüm bilgileri dahil etmemesi
- Her ihlale ilişkin gerçekleri, bunları gidermek için atılan adımları belgelememek ve bunu, Gözetim Otoritesinin uyumu doğrulamasına olanak verecek şekilde yapmamak
- İşleme sistemlerinin tasarımında veri koruma ilkelerinin korunduğundan emin olunamaması
- Yalnızca belirli amaçlar için gerekli olan kişisel verilerin işlenmesini sağlama konusunda denetleyici olarak yükümlülüklerini yerine getirmemesi
"Profil bilgilerinin yetkisiz bir şekilde ifşa edilmesine izin verilmesi, bu ihlalin ardındaki güvenlik açıklarının bu tür verilerin kötüye kullanılması konusunda ciddi bir riske yol açtığını gösteriyor."
Bu, DPC'nin Meta'ya karşı verdiği ikinci ceza. Meta, 2019'da kullanıcıların şifrelerini yanlışlıkla düz metin olarak depolamasıyla ilgili bir güvenlik sorunu nedeniyle Eylül 2024'te 91 milyon avro (101,5 milyon dolar) ceza almıştı.
Bu gelişme, Meta'nın ayrıca 2018 Cambridge Analytica skandalının ardından kullanıcıların kişisel bilgilerinin siyasi profilleme ve reklam hedefleme amacıyla kötüye kullanılmasıyla ilgili olarak Avustralya Bilgi Komiserliği Ofisi (OAIC) ile 50 milyon AU$ (31,5 milyon $) tutarında bir ödeme programını kabul etmesinin ardından geldi.
Bu program, 2 Kasım 2013 ile 17 Aralık 2015 tarihleri arasında Facebook Hesabı sahibi olan, bu süre zarfında 30 günden fazla süre Avustralya'da bulunan ve This is Your Digital Life uygulamasını yükleyen veya uygulamayı yükleyen bir kişiyle Facebook'ta arkadaş olan kişiler için uygundur.
Uygulamayı 53 Avustralyalı Facebook kullanıcısının yüklediği ve uygulamayı indiren kişilerin arkadaşları olarak 311.074 Facebook kullanıcısının kişisel bilgilerinin uygulama tarafından istenmiş olabileceği söyleniyor .
Anlaşma, sızıntı nedeniyle genel endişe veya utanç yaşayanlara temel bir ödeme ve kayıp veya hasar yaşadıklarını gösterebilenlere özel bir ödeme olmak üzere iki kademeli ödeme sunuyor. Ödeme programının başvuruları resmi olarak 2025'in ikinci çeyreğinde kabul etmesi bekleniyor.
Avustralya Bilgi Komiseri Elizabeth Tydd, "Bu, Cambridge Analytica meselesiyle gündeme getirilen gizlilik endişelerinin esaslı bir çözümünü temsil ediyor, potansiyel olarak etkilenen Avustralyalılara Meta'nın ödeme programı aracılığıyla tazminat arama fırsatı veriyor ve uzun bir mahkeme sürecine son veriyor" dedi .
