El incidente surgió de un error que se introdujo en los sistemas de Facebook
Meta Platforms, la empresa matriz de Facebook, Instagram, WhatsApp y Threads, ha sido multada con 251 millones de euros (alrededor de 263 millones de dólares) por una violación de datos de 2018 que afectó a millones de usuarios en el bloque, en lo que es el último golpe financiero que ha recibido la empresa por violar las estrictas leyes de privacidad.
La Comisión de Protección de Datos de Irlanda (DPC) afirmó que la filtración de datos afectó a aproximadamente 29 millones de cuentas de Facebook en todo el mundo, de las cuales aproximadamente 3 millones estaban ubicadas en la Unión Europea y el Espacio Económico Europeo (EEE). Vale la pena señalar que las estimaciones iniciales del gigante tecnológico habían fijado el número total de cuentas afectadas en 50 millones.
El incidente, que la empresa de redes sociales reveló en septiembre de 2018, surgió de un error que se introdujo en los sistemas de Facebook en julio de 2017, permitiendo a actores de amenazas desconocidos explotar la función "Ver como" que permite a un usuario ver su propio perfil como otra persona.
Esto finalmente hizo posible obtener tokens de acceso a las cuentas, lo que permitió a los atacantes ingresar en las cuentas de las víctimas. Las categorías de datos personales afectadas como resultado de la violación de seguridad incluyeron los nombres completos de los usuarios, direcciones de correo electrónico, números de teléfono, ubicación, lugares de trabajo, fechas de nacimiento, religión, género, publicaciones en cronologías, grupos de los que eran miembros y datos personales de los niños.
"Un usuario que utilice la función [Ver como] podría invocar el cargador de vídeos junto con la función 'Compositor de feliz cumpleaños' de Facebook", dijo la DPC.
"El cargador del vídeo generaría entonces un token de usuario con todos los permisos necesarios que le daría acceso total al perfil de Facebook de ese otro usuario. Un usuario podría entonces usar ese token para explotar la misma combinación de características en otras cuentas, lo que le permitiría acceder a los perfiles de múltiples usuarios y a los datos accesibles a través de ellos".
El organismo de control de protección de datos también afirmó que actores maliciosos utilizaron scripts para explotar la falla entre el 14 y el 28 de septiembre de 2018 y obtuvieron acceso no autorizado a 29 millones de cuentas de Facebook en todo el mundo. Meta ha eliminado desde entonces la función que causó el problema.
"Esta medida de cumplimiento destaca cómo el hecho de no incorporar requisitos de protección de datos a lo largo del ciclo de diseño y desarrollo puede exponer a las personas a riesgos y daños muy graves, incluido un riesgo a los derechos y libertades fundamentales de las personas", dijo el Comisionado Adjunto de la DPC, Graham Doyle.
"Al permitir la exposición no autorizada de información de perfil, las vulnerabilidades detrás de esta filtración provocaron un grave riesgo de uso indebido de este tipo de datos".
Esta es la segunda multa de este tipo emitida por la DPC contra Meta, que recibió una multa de 91 millones de euros (101,5 millones de dólares) en septiembre de 2024 por un problema de seguridad en 2019 que implicó almacenar inadvertidamente las contraseñas de los usuarios en texto sin formato.
El desarrollo se produce luego de que Meta también acordó un programa de pago de AU$50 millones ($31,5 millones) para llegar a un acuerdo con la Oficina del Comisionado de Información de Australia (OAIC) relacionado con el uso indebido de la información personal de los usuarios para la elaboración de perfiles políticos y la segmentación publicitaria a raíz del escándalo de Cambridge Analytica de 2018.
