Контакты
Подписка
МЕНЮ
Контакты
Подписка

Facebook грозит 1,5-миллиардный штраф за утечку данных 50 млн пользователей

Facebook грозит 1,5-миллиардный штраф за утечку данных 50 млн пользователей

Facebook грозит 1,5-миллиардный штраф за утечку данных 50 млн пользователей


02.10.2018



Грядущий штраф

От Facebook могут потребовать уплаты штрафа в размере $1,63 млрд в связи с компрометацией данных 50 млн пользователей, о которой стало известно в пятницу, 28 сентября 2018 г. Основанием для наложения штрафа может послужить нарушение "Общего регламента по защите данных" (GDPR) — европейского закона, вступившего в силу в мае 2018 г. и регулирующего вопросы приватности пользователей, пишет Wall Street Journal.

В нарушении GDPR Facebook подозревает ирландская Комиссия по защите данных (Data Protection Commission, DPC). Напомним, именно в Ирландии находится главный европейский офис Facebook. Комиссия запросила у компании более подробную информацию о масштабах утечки и о том, как она отразилась на данных европейских пользователей. DPC выражает беспокойство по поводу того, что соцсеть пока что не смогла внятно ответить на вопросы о характере утечки и возможной опасности для пользователей.

Согласно GDPR, если технологическая компания принимает недостаточные меры по защите данных пользователей, она может быть оштрафована на 4% годовой выручки. На основании выручки Facebook за 2017 г. Wall Street Journal делает выводы, что штраф может достичь $1,63 млрд. По просьбе издания соцсеть сообщила, что собирается ответить на вопросы DPC, а также поставлять регулятору информацию о расследовании по ходу его продвижения.

Также по GDPR компанию следует оштрафовать на 2%, если она не сообщает об инциденте, связанном с безопасностью, в течение 72 часов. Но это требование Facebook выполнила: компания узнала об утечке 25 сентября, а сообщила — 28 сентября, хотя в сообщении и отсутствовали подробности.

Утечка данных в Facebook

25 сентября 2018 г. Facebook установил факт атаки на свои сети, которая затронула пользователей, просматривавших собственные страницы с помощью функции "Посмотреть как". Функция позволяет увидеть страницу "чужими глазами" — в том виде, в каком она отображается для кого-либо из других пользователей. Уязвимость этой функции позволила хакерам скомпрометировать почти 50 млн учетных записей Facebook.

Facebook могут оштрафовать на 4% годовой выручки

Как пояснила Facebook в официальном заявлении, баг дал возможность злоумышленникам украсть токены доступа, которые в дальнейшем можно было использовать для захвата аккаунтов. Токены доступа эквивалентны цифровым ключам, благодаря которым пользователь может оставаться залогиненным в соцсети, не вводя каждый раз заново пароль.

Компания ликвидировала уязвимость, временно отключила функцию "Посмотреть как" и переустановила токены доступа для всех 50 млн скомпрометированных аккаунтов. Кроме того, на всякий случай инженеры Facebook переустановили токены еще для 40 млн аккаунтов — тех, пользователи которых хоть раз за последний год использовали функцию "Посмотреть как". В результате 90 млн пользователей придется заново ввести свои логин и пароль для входа в соцсеть. Залогинившись заново, они найдут в своей ленте публикацию с объяснением от компании. Пароли Facebook менять не требует.

Facebook также сообщил, что расследование инцидента пока что находится на начальной стадии поэтому компания не может сказать точно, были ли какие-либо аккаунты действительные использованы со злым умыслом, и получили ли преступники доступ к какой-нибудь информации. Также у Facebook нет данных, кто произвел атаку, и где базируются эти лица.

Технические особенности

Facebook поясняет, что уязвимость представляет собой целый набор особенностей в программном коде, который уходит корнями к изменениям, внесенным в механизм загрузки видео в июле 2017 г. Функция "Посмотреть как" должна быть всего лишь функцией просмотра, но один из механизмов загрузки контента в соцсети — а именно, тот, который дает пользователям возможность поздравить друзей с днем рождения — некорректным образом привязал к этой функции интерфейс с возможностью запостить видео.

Кроме того, новая версия загрузчика видео — того самого, который отображается из-за описанной выше проблемы — в результате другой ошибки генерирует токены доступа, с помощью которых можно получить доступ к мобильному приложению. Третьей проблемой является то, что когда загрузчик отображается в "Посмотреть как", он генерирует токены не того пользователя, который применяет эту функцию на своей странице, а того человека, от лица которого страница просматривается. Токены сохраняются в HTML-коде страницы, откуда их можно извлечь.

 

Cnews