A blokklánc és a Web3 cégek alternatív bejelentkezési folyamatok létrehozásával és a szükséges adatgyűjtés erősen decentralizált módon történő elosztásával próbálják megelőzni az ilyen kiszivárgásokat a jövőben.
Az ír adatvédelmi bizottság (DPC) november 28-án bejelentette, hogy 265 millió euró (274,8 millió dollár) bírsággal sújtotta a Facebook fejlesztőjét, a Meta-t az Európai Unió általános adatvédelmi rendeletének (GDPR) megsértése miatt. Konkrétan a bizottság közölte, hogy azért bírságolta meg a Metát, mert nem úgy tervezte meg a Facebookot, hogy az megvédje a felhasználókat az adatok sérülésétől.
A bejelentést egy több mint egyéves vizsgálat követte, amely 2021 áprilisában kezdődött. Maga a jogsértés még korábban, 2019 végén történt.
Data Protection Commission announces decision in Facebook “Data Scraping” Inquiry: https://t.co/xW9nVqiJ2Y pic.twitter.com/6iDYnyVk5R
— Data Protection Commission Ireland (@DPCIreland) November 28, 2022
Az adatvédelmi incidensre először akkor derült fény, amikor a Tech Crunch jelentése felfedte, hogy több százmillió Facebook-felhasználó telefonszámai szerepeltek egy nyilvánosan elérhető online adatbázisban. Bár az adatbázist később a tárhelyszolgáltató levette, létezése felfedte, hogy a Facebook adatai sérültek.
A DPC 2021 áprilisában kezdte el vizsgálni a jogsértést. Ekkor a Meta „Tények a Facebook-adatokról szóló hírekről szóló hírekről” címmel közleményt tett közzé a jogsértésről. A Meta azt állította, hogy egy támadó a kapcsolatimportáló eszközét használta arra, hogy a szerverre telefonszámokat küldjön, hogy megnézze, mely telefonszámokhoz kapcsolódnak Facebook-fiókok.
Minden egyes alkalommal, amikor a támadó választ kapott, képes volt megszerezni a felhasználó személyes adatait, és ezeket az adatokat összevetni a felhasználók telefonszámával. Ennek eredményeként a felhasználók személyes adatai kiszivárogtak a rosszindulatú szereplőkhöz.
A közleményben a Meta azt állította, hogy a biztonsági rés felfedezése után befoltozta ezt a kapcsolatimportáló sebezhetőséget, és az eszköz most már biztonságos.
A DPC új közleménye szerint az incidens miatt „a GDPR 25. cikkének (1) és (2) bekezdésének megsértését” állapította meg, és „összesen 265 millió euró közigazgatási bírságot szabott ki”.
A személyes adatok közösségi médiaalkalmazásokban való felhasználása az elmúlt években ellentmondásos lett, mivel az adatszegések mindennapossá váltak.
Több blokklánccég próbálta megoldani a problémát olyan blokklánc közösségi médiaalkalmazások létrehozásával, amelyek nem igénylik a felhasználóktól az e-mail címük vagy telefonszámuk kiadását. A Bitclout és a Blockster például olyan közösségi médiaalkalmazások, amelyek lehetővé teszik a felhasználók számára, hogy csupán egy Ethereum tárcával jelentkezzenek be.
Az Ethereum fejlesztői egy EIP-4361 elnevezésű javaslatot is felajánlottak, hogy a tárca bejelentkezési folyamatát minden alkalmazásban egységesítsék. A támogatók úgy vélik, hogy ezzel kiküszöbölhető lenne, hogy a közösségi médiaalkalmazásokban érzékeny személyes adatokat kérjenek a felhasználóktól, ami segíthetne megelőzni a jövőben az ehhez hasonló jogsértéseket.
