A Meta, dona do Facebook, foi multada em € 265 milhões (o equivalente a US$ 275,5 milhões) por um vazamento maciço de dados da rede social, que expôs informações pertencentes a 533 milhões de usuários do Facebook em um fórum de hackers.
A multa foi aplicada pela Comissão de Proteção de Dados da Irlanda (DPC, na sigla em inglês), órgão regulador da privacidade irlandesa que aplicou as leis europeias, que anunciou a aplicação da sanção após uma investigação iniciada em 2021, quando o vazamento dos dados se tornou público.
O DPC conclui, após investigações, que a Meta violou do GDPR (General Data Protection Regulation). Os dados expostos incluíam informações pessoais, como números de celular, IDs do Facebook, nomes, data de nascimento, localizações, status de relacionamento, ocupações, datas de nascimento e endereços de e-mail. Todos esses dados foram compartilhados em um conhecido fórum de hackers, permitindo que fossem usados por operadores de ameaças para ataques direcionados.
Na época, o Facebook disse que os hackers coletaram os dados explorando uma falha em sua ferramenta “Contact Importer” para associar números de telefone a um ID do Facebook e, em seguida, coletando o restante das informações para criar um perfil para o usuário. A plataforma disse que corrigiu o bug em 2019 e os dados foram coletados antes disso.
A investigação da DPC concluiu que o Facebook violou os artigos 25 n.º 1 e 25 n.º 1 da GDPR nos seguintes itens:
- 25.º, n.º 1 – O responsável pelo tratamento dos dados deve implementar as medidas técnicas e organizativas adequadas, como a pseudonimização, e integrar no tratamento as garantias necessárias para cumprir os requisitos do presente regulamento e proteger os direitos dos titulares dos dados;
- 25.º, n.º 2 – O responsável pelo tratamento deve implementar as medidas técnicas e organizativas adequadas para garantir que, por defeito, apenas são tratados os dados pessoais necessários para cada finalidade de tratamento. Em particular, tais medidas devem garantir que, por defeito, os dados pessoais não sejam disponibilizados sem a intervenção do indivíduo a um número indefinido de pessoas singulares.
“Houve um processo de investigação abrangente, incluindo a cooperação com todas as outras autoridades supervisoras de proteção de dados na União Europeia”, diz o comunicado da DPC. “Essas autoridades fiscalizadoras concordaram com a decisão da DPC.”
Os hackers utilizaram a técnica chamada de “raspagem” ou “garimpo” de dados. Raspadores de dados são bots automatizados que exploram APIs de rede aberta de plataformas que armazenam dados de usuários, como o Facebook, para extrair informações publicamente disponíveis e criar bancos de dados de perfis de usuários.
Veja isso
Malware que rouba informações mira contas do Facebook
Clubhouse e Facebook: 3,8 bilhões de registros à venda
Os conjuntos de dados coletados pelos scrapers podem ser combinados com dados de vários pontos (sites), criando perfis completos dos usuários, tornando assim o rastreamento de profissionais de marketing ou o direcionamento de agentes de ameaças muito mais eficazes.
No entanto, no caso da Meta, os criminosos usaram uma falha no Contact Importer no Facebook e no Instagram para vincular números de telefone a essas informações coletadas publicamente, permitindo que eles criassem perfis contendo informações privadas e públicas.
A raspagem é contra as políticas da maioria das plataformas online, mas aplicar essas regras é tecnicamente complicado, como foi recentemente destacado com o TikTok e o WeChat. O LinkedIn, por exemplo, levou o assunto à Justiça para impedir a extração de dados na plataforma, garantindo uma liminar contra os operadores de raspadores legais e impedindo-os de usar os dados já coletados dessa maneira.