Facebookのパーソナルデータの侵害、余波

2018928日、Facebookは、

その週の初めにセキュリティ侵害が起こったとの声明を発表し、

5,000万人のユーザーの個人データを危険にさらした。

個人情報漏洩はアイルランドの情報監督当局に報告されていますが、

これはストーリーが終わったことを意味しますか?

何が起こった

928日金曜日にFacebookによって報告されたリークは、

3つのバグの組み合わせによって引き起こされました。

機能としての「ビュー」機能では、意図せずにビデオを投稿することができました。

ビデオ投稿の機能自体では、20177月のアップデートでエラーが発生し、

アクセストークンの生成が意図したとおりに機能しませんでした。

特定の使用状況では、このエラーにより、

間違った人物のアクセストークンが公開され、

この人物のフルプロファイルにアクセスすることができました。

リークの技術的分析のために、

Facebookのオリジナルアップデートを参照してください。

この違反により、

5,000万人のアカウントの個人データが悪意のある個人によってアクセスされました。

 

いわゆるアクセストークンは、facebook.comInstagramSpotifyなどの

Facebookアカウントでサインインできるサービスに使用されます。

秘密トークンは、ユーザーがすでにサインインしているかどうかを

認識するために使用され、パスワードをもう入力する必要はありません。

誰かがあなたのアクセストークンを持っていれば、

あなたはサービスを再訪するふりをすることができ、

あなたのパスワードを尋ねられません。

facebook.com以外のサービスがトークンでアクセスされるかどうかは

今のところ不明です。

このニュースはFacebookのためのより良い時に来たかもしれません。

2016年の米国選挙に影響を与えた後、ケンブリッジ・アナリティカと

最高セキュリティ責任者、アレックス・スタモスは交代せずに辞任し、

Facebookはかなりの情報セキュリティの信頼性を失ってしまった。

GDPRに基づく個人情報漏洩

新しい欧州のプライバシー保護規定GDPRは、2018525日から施行され、

個人データを保護するためのものです。

これは、健全な情報セキュリティを実践し、データ漏えいを適切に処理する義務です。

GDPRは、個人情報の違反を、

「送信、保存、処理された個人データの偶発的または不法な破壊、紛失、改ざん、

不正な開示またはアクセスにつながるセキュリティ違反」と定義しています。

 

33条および第34条では、GDPRは、

組織がデータ侵害の場合に取るためのすべての強制措置を概説しています。

33条は、正しいEU監督当局(Facebookのためのアイルランド語)にいつ、

どのように通知するかを記述し、第34条は、データ主題の通知に焦点を当てている。

Facebook72時間以内に次のことを監督当局に報告しなければならなかった:

  • 個人データ侵害の性質と、可能であれば、関連するデータ主題と

  • 個人データ記録のカテゴリと推定数

  • データ保護責任者またはその他の有能な連絡先の名前と連絡先の詳細

  • データ侵害の可能性のある結果

  • データ侵害に対処するためにとられた措置

行動を取った

916日、Facebookは、調査を開始するのに十分な懸念を抱かせた

ユーザーの異常なスパイクに気づいた。

925日、この脆弱性が発見され、

Facebookはセキュリティが侵害されていることを発見しました。

彼らはFBIに通知し、72時間以内にアイルランドの首席監督当局DPCにも通知した。

後者は明らかにFacebookが提供した情報に完全に満足していなかった。

Facebookは、インパクトの原因とサイズについて

考えていることはほとんどありません。

DPCは、Facebookがすべての質問に答えるまで、それ以上のコメントから控える。

 

金曜日Septermber25日に、Facebook2回のプレスコールを開催した。

製品管理担当副社長、ガイ・ローゼン(NathanielGleicher

サイバーセキュリティポリシー担当責任者、マーク・ズッカーバーグ

MarkZuckerberg)はプレスの質問に答えました。

これらの呼び出しの間に、あまり新しい情報はリリースされませんでした。

Facebookは攻撃の範囲と原点を完全には決定していなかったし、

これを報道陣と共有したくなかった。

 

発見された違反に反応して、

Facebookは最初に新しいデータが盗まれるのを防ぐための

「ビューとして」機能を無効にし、FBIに通知しました。

彼らは、侵害されていることが判明している5,000万件のアカウントと、

危険にさらされている4000万件のアカウントのアクセストークンをリセットします。

これらのアカウントのユーザーは、

新しいアクセストークンを受け取るために再度ログインする必要があり、

アプリ内のメッセージによって通知されます。

Facebookが完全な技術レビューを完了するまで、「表示」機能はオフのままです。

次は何ですか?

Facebookが誠実にすべてのDPC質問に答えても、完全にオフフックではありません。

GDPRではデータ違反は違法とはみなされませんが、

情報セキュリティを真剣に取り組んでいないか、

または重大に取り扱っていないことは別の話です。

DPCと完全に協力することで、

Facebook7億ドル(年間収入の2%)を逃れることができます。

14億ドル(年間収入の4%)の可能性がある他の罰金は、

固着の可能性が高い可能性があります。

 

個人データ処理の基本原則を侵害することによって、

組織はこの最も高い罰金のカテゴリを危険にさらします。

5.1条(fGDPRは、個人データの不正使用や違法な処理からの

保護、偶発的な紛失、破壊、破損からの保護を含む、

個人データの適切なセキュリティを保証するような方法で処理すべきであると

規定しているため、Facebookは、適切な技術的または組織的措置を使用している。

今のところ、FacebookDPCが調査を終えるのを待つことの問題です。

DPCの声明に関する情報は、ウォールストリートジャーナルの記事によるものです。

討論

オープンな特別利益LinkedInグループの情報セキュリティNLでは、

プライバシーとセキュリティに関する最新のニュースについてお話したいと思います。

この記事もそこに掲載されています。

私たちはあなたの状況を知りたいと思っています。

情報セキュリティNLは情報セキュリティに関する知識共有のための

無料イニシアチブです。

画像クレジット:Timbennettcreativevia Unsplash

Joost Krapels

著者:Joost Krapels
JoostKrapelsBScを修了しました。ライフスタイル情報学(人工知能)と修士号。

VUアムステルダムの情報科学。

彼の主任研究の間、

彼はGDPR遵守のためのいくつかのコンプライアンスツールを評価し、

GDPRの影響について多くのビジネスオーナーにインタビューした。

ICTインスティテュートの中で、JoostKrapelsSecurityVerified標準の開発を支援し、

GDPRツールとテンプレートを改善し、クライアントにITアドバイスを提供します。

 

Facebookのパーソナルデータの侵害、余波

https://ictinstitute.nl/facebook-personal-data-breach-the-aftermath/

2018103| Joost Krapels|