La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una nueva sanción a Meta, en esta ocasión por una violación de datos personales que afectó a 29 millones de cuentas de Facebook a nivel global, de las cuales 3 millones estaban ubicadas en la UE y/o en el Espacio Económico Europeo.
La multa, que asciende a 251 millones de euros, es el resultado de una investigación voluntaria iniciada en 2018, después de que Meta informase de una filtración de datos de perfiles de Facebook.
Causas de la vulnerabilidad
El origen de la vulnerabilidad que propició la filtración masiva de datos fue la implementación de la función «Ver como» en Facebook en julio de 2017. Esta funcionalidad permitía visualizar tu propia página de Facebook como lo haría otro usuario o usuaria y daba la opción de utilizar una herramienta de carga de vídeos.
Sin embargo, el cargador de vídeos generaba un token de usuario con todos los permisos necesarios para tener acceso completo a un perfil de Facebook, por lo que una persona solo necesitaba usar ese token para explotar la misma combinación de funciones en otras cuentas y tener acceso a estas y a sus datos. Y esto fue justo lo que sucedió.
Entre el 14 y el 18 de septiembre de 2018, personas no autorizadas aprovecharon esta brecha de seguridad y accedieron a 29 millones de cuentas de Facebook de todo el mundo, de las cuales unas 3 millones eran de usuarios y usuarias de la Unión Europea y/o el Espacio Económico Europeo.
Tal y como ha apuntado el DPC, las categorías de datos personales filtrados incluían información sensible como: nombre completo del usuario, dirección de correo electrónico, número de teléfono, ubicación, lugar de trabajo, fecha de nacimiento, religión, género, publicaciones en las cronologías, grupos de los que un usuario era miembro y datos personales de niños.
