Irlandzki regulator wszczął śledztwo ws. wielkiego wycieku danych z Facebooka

Wyciek danych z Facebooka dotyczył 533 mln użytkowników (Photo by Alexander Shatov on Unsplash)

Wyciek danych z Facebooka dotyczył 533 mln użytkowników (Photo by Alexander Shatov on Unsplash)

Po tym jak z amerykańskiego serwisu społecznościowego wyciekły dane 533 mln użytkowników, irlandzki Komisarz ds. Ochrony Danych (DPC) wszczął dochodzenie. Regulator ocenił, że doszło do złamania unijnego rozporządzenia RODO.

 

Wielki wyciek danych z Facebooka ujawniono 3 kwietnia, ale doszło do niego prawdopodobnie wiele tygodni wcześniej. Według izraelskiego specjalisty ds. cyberbezpieczeństwa Alona Gala, który jako pierwszy poinformował na Twitterze o wycieku, na hakerskich forach w tzw. dark necie paczki z wykradzionymi danymi były dostępne za darmo już w styczniu.

Izrael: Firma zajmująca się cyfrowym wywiadem twierdzi, że złamała zabezpieczenia komunikatora Signal

Signal uchodził dotąd za jeden z najbezpieczniejszych komunikatorów na świecie, a jego zabezpieczenia za niemożliwe do złamania. Ale izraelska spółka, która dostarcza między innymi technologie cyfrowe dla służb policyjnych i wywiadowczych twierdzi, że potrafi już włamać się do tej aplikacji.

 

Opracowana …

Skradzione m.in. dane premiera Luksemburga i komisarza UE

Łupem przestępców nie padły hasła do profili użytkowników Facebooka czy też treść ich prywatnych wpisów lub wiadomości przesyłanych facebookowym komunikatorem Messenger, ale udało się im uzyskać informacje o przypisanych do danych kont imionach i nazwiskach użytkowników, ich adresach e-mail oraz w wielu przypadkach także numerach telefonów komórkowych, adresach pocztowych, stanie cywilnym czy miejscu pracy.

Dane te często widoczne były w profilach użytkowników, ale zwykle dla określonej grupy znajomych. Hakerzy natomiast zebrali je w jednym miejscu i udostępnili. Zdaniem ekspertów ds. cyberbezpieczeństwa takie dane mogą posłużyć przestępcom do mocno spersonalizowanych ataków phishingowych lub podszywania się pod cudzą tożsamość.

Wśród ofiar wycieku byli mieszkańcy 106 krajów z całego świata, w tym blisko 2,5 mln osób z Polski. Do sieci trafiły nawet prywatne dane europejskich przywódców – np. premiera Luksemburga Xaviera Bettela czy wysokich rangą urzędników Unii Europejskiej, w tym komisarza ds. sprawiedliwości Didiera Reyndersa oraz kilkudziesięciu urzędników niższych rangą.

Kryzys zaufania i brak przejrzystości. Jaka jest przyszłość cyfrowej debaty publicznej?

Jakie granice ma dziś wolność słowa w internecie? Czy istnieje alternatywa wobec „fejsokracji”?

Irlandzkie dochodzenie wobec Facebooka

Teraz dochodzenie wobec Facebooka w związku z owym wyciekiem wszczął irlandzki Komisarz ds. Ochrony Danych (DPC). Organ ten jest na terenie UE właściwy do działań wobec amerykańskiego serwisu społecznościowego, ponieważ to na terenie Irlandii ma on swoją główną europejską siedzibę, tak jak i m.in. Apple czy Google.

DPC uznał bowiem, że Facebook mógł naruszyć ściśle chroniące dane osobowe obywateli UE rozporządzenie RODO, które nakłada na administratorów danych osobowych wiele obowiązków dotyczących bezpieczeństwa ich przetwarzania.

Tymczasem wyciek z Facebooka mógł nastąpić nie w wyniku skomplikowanych działań hakerskich, ale z powodu błędu w narzędziu służącym do synchronizowania kontaktów. Lukę taką mogli wykorzystać nawet mniej doświadczeni złodzieje danych.

Kierownictwo Facebooka oświadczyło wczoraj (14 kwietnia), że będzie w pełni współpracować w ramach irlandzkiego śledztwa, które „dotyczy funkcji ułatwiających ludziom znalezienie i połączenie z przyjaciółmi w usługach firmy”. Pośrednio potwierdza to wcześniejsze domysły, że zawiodło synchronizowanie kontaktów.

Na korzyść serwisu społecznościowego działa natomiast to, że główna część skradzionej bazy danych powstała przed 2018 r., a więc przed wejściem w życie rozporządzenia RODO. Jej wyciek nie może więc być karany surowymi sankcjami ujętymi w tych unijnych przepisach.

RODO jednak złamane?

Ale według wstępnej oceny DPC część danych była jednak nowsza i już objęta rozszerzoną ochroną. Między innymi ta właśnie kwestia będzie przedmiotem dochodzenia irlandzkiego regulatora, który chce nie tylko ustalić na ile za wyciek odpowiadał sam Facebook i brak odpowiednich zabezpieczeń danych, ale także sprawdzić ile danych było już objętych ochroną RODO.

Rozporządzenie rozszerzające w UE ochronę danych osobowych umożliwia regulatorom nakładanie na łamiące przepisy firmy czy instytucje kar finansowych w wysokości do 20 mln euro lub 4 proc. globalnego przychodu za poprzedni rok podatkowy.