Ezúttal 50 millió felhasználó oldala került veszélybe, a beszámolók szerint ebből lehet az első GDPR-es gigabírság.

A Facebook múlt pénteken számolt be arról a kivételesen súlyos adatbiztonsági incidensről, amelynek során a támadók 50 millió felhasználói profilhoz és a hozzájuk kapcsolódó adatokhoz férhettek hozzá. A bejelentés szerint a hekkerek a "view as", vagyis a "megtekintés mint" funkciót kezelő kód hibáját használták ki, amely eredetileg azt mutatja meg a felhasználóknak, hogy mások hogyan látják az ő profiloldalukat, ebben az esetben azonban arra is alkalmas volt, hogy rajta keresztül privát információhoz férjenek hozzá.

A szóban forgó információk köre elvileg kiterjed a személyes üzenetekre, fotókra vagy posztokra is, bár a vállalat közölte, hogy egyelőre nincs rá bizonyíték, ha ezt ténylegesen ki is használták. A biztonsági tokenek működését kihasználó sérülékenység lehetőséget ad ugyan az oldalra való belépésre, de a probléma leírása alapján a hekkerek nem férhettek hozzá magukhoz a belépéshez szükséges jelszavakhoz vagy kártyaadatokhoz. Azzal kapcsolatban viszont ismét csak a maszatolás megy, hogy ezeken kívül mihez férhettek hozzá: a profilokba való belépés ugyanis elég egyértelműen utal rá, hogy körülbelül mindenhez.

A Facebook az FBI-jal közösen vizsgálja az ügyet, és biztonsági megfontolásokból összesen 90 millió felhasználót jelentkeztetett ki. A társaság ehhez hozzátette, hogy mindazok az érintettek, akik Instagram- vagy Oculus-fiókjukat összekapcsolták facebookos profiljukkal, jobban teszik, ha ismét elvégzik a szét- és összekapcsolást. Egyben elgondolkodhatnak azon is, hogy mennyire jó ötlet az univerzális bejelentkezés, amit a Facebook évek óta mindenhol erőltet.

A gyakorlatban is lecsaphat a 4 százalékos kasza

Az érintett felhasználók számát tekintve a Cambridge Analytica botrányánál is nagyobb volumenű adatbiztonsági incidens részletei itt vagy itt olvashatók bővebben. A dolog egyik fontos – és nem technikai jellegű – vonatkozása, hogy a szabályozók és a törvényhozás képviselői is egyből rávetették magukat. A The New York Times például egy demokrata szenátort szólaltatott meg, aki szerint egy újabb indikátorról van szó abban a tekintetben, hogy a kongresszusnak lépéseket kell tennie a közösségimédia-felhasználók személyes adatainak és biztonságának védelmében.

A Wall Street Journal eközben arról ír, hogy a Facebook homályos tájékoztatása a cég európai felügyeleltét ellátó ír adatvédelmi hatóság szemében is homályos, így a szervezet további tájékoztatást kért a vállalattól. A lap szerint az incidens könnyen a GDPR keretei között maximálisan kiszabható, jelen esetben 1,63 milliárd eurós bírsággal végződhet, amennyiben megállapítják, hogy a társaság nem tett meg mindent a felhasználói adatok biztosítása érdekében.

A bírság plafonja ugyanis 20 millió dollár, vagy az érintett szervezet globális éves forgalmának 4 százaléka (mindig a magasabb összeg játszik), ez pedig a Facebook esetében éppen ennyit tenne ki; ugyanakkor a bevételek további 2 százalékának megfelelő összeget is bukhatnak, ha kiderül, hogy az adatszivárgásról nem adtak 72 órán belül megfelelő tájékoztatást az illetékes hatóságoknak.

Ez lenne egyébként a GDPR-ben foglalt büntetési plafon legelső alkalmazása; az Egyesült Államokban egyelőre nem fenyegetnek hasonló nagyságrendű büntetések, de a Facebook vezérigazgatója és operatív vezetője a Cambridge Analytica bortányt követően is kellemetlen órákat töltött szenátus bizottsági meghallgatásán, most pedig odaát is több politikus követel átfogó vizsgálatot a legfrissebb adatbiztonsági fiaskóval kapcsolatban.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »

 

Biztonság

Az Amazon megfékezésére módosítaná az e-kereskedelem kereteit az EU

Csak épp nem az Amazon segítése, hanem kordában tartása lenne a cél. Egyre több konkrétum látszik a szeptemberben indult trösztellenes vizsgálatból.
 
Hirdetés

Gépek között, avagy az API kommunikáció rejtett buktatói

Az API kommunikáció biztonsági aspektusaira egyelőre nincsenek egzakt válaszok, de a Balasys megoldása segít a kikerülhetetlenné váló, API-k által jelentett biztonsági kockázatok kezelésében.

A fintech vállalkozásokat helyzetbe hozó európai uniós direktíva általánosságban nem ront a biztonsági helyzeten a bankok szerint. Bizonyos támadási formák azonban elszaporodhatnak, ha nem vigyázunk.

a melléklet támogatója a Balasys

A VISZ éves INFOHajó rendezvényén az agilitás nagyvállalati alkalmazhatósága és tanulhatósága volt az egyik kerekasztal témája. Az ott elhangzottakat gondolta tovább Both András (Idomsoft), a kerekasztal egyik résztvevője.

Ez a nyolc technológia alakítja át a gyártást

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.