因泄露5.33亿用户隐私，Facebook被罚2.65亿欧元

据BleepingComputer 11月28日消息，因泄用户隐私亿欧元近日 ，露亿爱尔兰数据保护委员会 (DPC) 因2021 年 Facebook 大规模数据泄露事件 
，被罚向其母公司Meta开出 2.65 亿欧元（约20亿人民币）巨额罚单。因泄用户隐私亿欧元

2021年4月，露亿黑客将5.33亿Facebook用户隐私数据泄露至黑客论坛 ，被罚其中包括了手机号码、因泄用户隐私亿欧元Facebook ID 、露亿姓名、被罚性别
、因泄用户隐私亿欧元位置 、露亿人物关系 、源码库被罚职业 、因泄用户隐私亿欧元出生日期和电子邮件地址。露亿DPC 于 2021 年 4 月 14 日正式启动了对 Meta 可能违反 《通用数据保护条例》（GDPR ）的被罚 调查
。

Facebook 当时表示 ，黑客通过利用Contact Importer工具中的一个缺陷将电话号码与 Facebook ID 关联，然后抓取其余信息来为用户建立个人资料来收集数据 。Facebook表示该漏洞已在2019年修复，黑客在此之前窃取了数据
。

根据DPC 的亿华云调查结论，Meta违反了 GDPR 第 25章第1及第2条
：

25.1 数据控制者应实施适当的技术和管理措施，比如将数据进行假名化，并在处理过程中纳入必要的保障措施，以满足本规定的要求并保护数据主体的权利。

25.2 数据控制者应该使用适当的技术及管理措施，模板下载来保证在默认情况下 ，仅使用处理目的所必要的个人数据。 特别注意这类措施应应确保在默认情况下，不应允许任何个人干预，同时只向有限数量的自然人提供个人数据。

数据抓取

数据抓取器是一种自动化机器人工具，能利用 Facebook 等保存用户数据平台的建站模板开放网络 API 来提取公开信息并创建大量用户资料数据库。

虽然不涉及黑客攻击 ，但爬虫收集的数据集可以与来自多个点（站点）的数据相结合，创建完整的用户档案，从而使黑客的攻击目标更加精准有效 。在 Meta 的案例中，云计算黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一个缺陷将电话号码与这些公开收集的信息相关联，从而允许他们创建包含个人和公共信息的配置文件 。

由于许多科技公司在爱尔兰运营，DPC 被认为是欧盟 GDPR 合规的先锋，因此其决定势必会给其他掌控大量数据的企业带来影响，香港云服务器迫使他们重新评估其反抓取机制 。

参考来源  ：https://www.bleepingcomputer.com/news/security/meta-fined-265m-for-not-protecting-facebook-users-data-from-scrapers/

很赞哦!（88）