Violación de la base de datos de Facebook
“El DPC encontró que Meta Platforms no tenía medidas técnicas y organizativas apropiadas que le permitieran demostrar fácilmente las medidas de seguridad que implementó en la práctica para proteger los datos de los usuarios de la UE, en el contexto de las doce violaciones de datos personales”, dijo el organismo de control en un comunicado de prensa.
“Esta multa tiene que ver con las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no con un fallo en la protección de la información de las personas”, dijo Meta en un comunicado compartido con Associated Press. “Nos tomamos en serio nuestras obligaciones bajo el GDPR, y consideraremos cuidadosamente esta decisión mientras nuestros procesos continúan evolucionando”.
El desarrollo sigue a una sanción similar que el CPD impuso a WhatsApp, multando al servicio de mensajería con 225 millones de euros en septiembre de 2021 por no cumplir con sus obligaciones de transparencia del GDPR. Tras la sentencia, WhatsApp modificó su política de privacidad en lo que respecta a la forma en que maneja los datos de los usuarios europeos y comparte esa información con su empresa matriz, Meta.
Lista de violaciones de datos de Facebook
En 2016, el senador estadounidense Ted Cruz contrató a Cambridge Analytica para que le ayudara en su campaña presidencial[43] La Comisión Federal de Elecciones informó de que Cruz pagó a la empresa 5,8 millones de dólares en concepto de servicios[43] Aunque Cambridge Analytica no era muy conocida en ese momento, fue entonces cuando empezó a crear perfiles psicográficos individuales[43] Estos datos se utilizaron después para crear anuncios adaptados a cada persona con el fin de influir en su voto a favor de Cruz[43].
En 2018, el Parlamento del Reino Unido interrogó al director de SCL Group, Alexander Nix, en una audiencia sobre las conexiones de Cambridge Analytica con la empresa petrolera rusa Lukoil[48] Nix declaró que no tenía conexiones con las dos empresas, a pesar de la preocupación de que la empresa petrolera estaba interesada en cómo se utilizaban los datos de la empresa para dirigirse a los votantes estadounidenses[48] Cambridge Analytica se había convertido en un punto de atención en la política desde su participación en la campaña de Trump en este momento[48] Los funcionarios demócratas lo convirtieron en un punto de énfasis para mejorar la investigación sobre las preocupaciones de los vínculos rusos con Cambridge Analytica. Más tarde, Christopher Wylie confirmó que Lukoil estaba interesado en los datos de la empresa en relación con la orientación política[48].
Descarga de la filtración de datos de Facebook
Al principio, los atacantes ofrecían los datos a un precio bastante elevado. Cuando los datos empezaron a circular en foros de ciberdelincuentes abiertos y cerrados en 2020, un listado en el foro de ciberdelincuentes de habla rusa XSS en agosto de 2020 anunciaba la venta de estos datos por “sólo” 25.000 dólares (véase la figura 2). Se identificaron anuncios en otros foros, como Raidforums. El gran tamaño de la fuga de datos y la amplia geografía que abarcaba (106 países) convirtieron los datos en una mina de oro para los ciberdelincuentes. Por lo tanto, estos listados solían captar el interés de múltiples actores de amenazas.
En 5 días, más de 4.800 miembros del foro habían desbloqueado los datos con sus tokens; el hilo recibió más de 1.000 respuestas y 200.000 visitas, lo que lo convirtió en uno de los hilos más vistos del foro criminal. Los datos fueron un éxito inmediato dentro de la comunidad de ciberdelincuentes. Desde entonces, la filtración de datos y los enlaces de descarga gratuita se han vuelto a publicar en múltiples foros de la web profunda y oscura. Ahora los datos pueden ser adquiridos fácilmente por cualquier ciberdelincuente que desee utilizarlos.
Wired filtración de datos de facebook
Más tarde, se determinó que millones de contraseñas de usuarios de Instagram también estaban siendo almacenadas en archivos de texto plano, dejándolas expuestas también. No está claro si alguno de los datos de las contraseñas fue utilizado indebidamente.
En mayo de 2018, un fallo impidió que los ajustes de privacidad funcionaran correctamente. Como resultado, las publicaciones privadas de 14 millones de usuarios se compartieron públicamente a pesar de que inicialmente se publicaron con limitaciones de visualización. Estas publicaciones se hicieron públicas sin el conocimiento o el consentimiento de los usuarios.
Por lo general, personas no autorizadas accedieron a los datos sensibles por error. Cuando un usuario intentaba descargar la información de contacto de las conexiones de su lista de amigos, se añadían a la descarga otros datos de contacto que no estaban autorizados a ver.
Técnicamente, se cree que el problema en torno a esta brecha comenzó en 2012. Sin embargo, el fallo no se detectó realmente hasta 2013. Por lo tanto, estuvo vigente durante un año antes de que se publicara una solución.
Aunque esto no hizo pública ninguna información previamente privada, hizo que la información olvidada fuera mucho más descubierta, lo que llevó a muchos puntos de venta a recomendar a los usuarios que actualizaran su configuración de privacidad.