據(jù)BleepingComputer 11月28日消息，近日，愛爾蘭數(shù)據(jù)保護委員會 (DPC) 因2021 年 Facebook 大規(guī)模數(shù)據(jù)泄露事件，向其母公司Meta開出 2.65 億歐元（約20億人民幣）巨額罰單。

2021年4月，黑客將5.33億Facebook用戶隱私數(shù)據(jù)泄露至黑客論壇，其中包括了手機號碼、Facebook ID、姓名、性別、位置、人物關(guān)系、職業(yè)、出生日期和電子郵件地址。DPC 于 2021 年 4 月 14 日正式啟動了對 Meta 可能違反 《通用數(shù)據(jù)保護條例》（GDPR ）的 調(diào)查。

Facebook 當時表示，黑客通過利用Contact Importer工具中的一個缺陷將電話號碼與 Facebook ID 關(guān)聯(lián)，然后抓取其余信息來為用戶建立個人資料來收集數(shù)據(jù)。Facebook表示該漏洞已在2019年修復，黑客在此之前竊取了數(shù)據(jù)。

根據(jù)DPC 的調(diào)查結(jié)論，Meta違反了 GDPR 第 25章第1及第2條：

25.1 數(shù)據(jù)控制者應實施適當?shù)募夹g(shù)和管理措施，比如將數(shù)據(jù)進行假名化，并在處理過程中納入必要的保障措施，以滿足本規(guī)定的要求并保護數(shù)據(jù)主體的權(quán)利。

25.2 數(shù)據(jù)控制者應該使用適當?shù)募夹g(shù)及管理措施，來保證在默認情況下，僅使用處理目的所必要的個人數(shù)據(jù)。 特別注意這類措施應應確保在默認情況下，不應允許任何個人干預，同時只向有限數(shù)量的自然人提供個人數(shù)據(jù)。

數(shù)據(jù)抓取

數(shù)據(jù)抓取器是一種自動化機器人工具，能利用 Facebook 等保存用戶數(shù)據(jù)平臺的開放網(wǎng)絡 API 來提取公開信息并創(chuàng)建大量用戶資料數(shù)據(jù)庫。

雖然不涉及黑客攻擊，但爬蟲收集的數(shù)據(jù)集可以與來自多個點（站點）的數(shù)據(jù)相結(jié)合，創(chuàng)建完整的用戶檔案，從而使黑客的攻擊目標更加精準有效。在 Meta 的案例中，黑客利用 Facebook 和 Instagram 上 Contact Importer 中的一個缺陷將電話號碼與這些公開收集的信息相關(guān)聯(lián)，從而允許他們創(chuàng)建包含個人和公共信息的配置文件。

由于許多科技公司在愛爾蘭運營，DPC 被認為是歐盟 GDPR 合規(guī)的先鋒，因此其決定勢必會給其他掌控大量數(shù)據(jù)的企業(yè)帶來影響，迫使他們重新評估其反抓取機制。

參考來源：https://www.bleepingcomputer.com/news/security/meta-fined-265m-for-not-protecting-facebook-users-data-from-scrapers/