아일랜드 데이터 보호 위원회(DPC)는 2018년 페이스북에서 발생한 데이터 유출 사건으로 인해 메타에 2억 5,100만 유로의 벌금을 부과했습니다. 이 사건으로 인해 공격자들이 수백만 개의 사용자 데이터에 접근할 수 있었습니다. 전 세계적으로 약 2,900만 개의 페이스북 계정이 영향을 받았으며, 이 중 약 3백만 개가 EU 또는 유럽 경제 지역과 관련이 있습니다.
유출된 데이터에는 전체 이름, 이메일 주소, 전화번호, 위치, 직장, 생년월일, 종교적 신념, 성별, 타임라인 게시물, 그룹, 아동의 개인 데이터 등 여러 카테고리가 포함되었습니다.
이 취약점은 2017년 7월에 도입된 비디오 업로드 도구에서 발생했으며, '다른 사람의 모습 보기(View As)' 기능이 포함되어 있었습니다. 사용자가 비디오 업로드 도구와 자동으로 생일 축하 메시지를 생성하는 도구를 결합했을 때, 다른 프로필에 대한 사용자 토큰을 생성할 수 있게 되어 모든 정보에 접근할 수 있었습니다. 공격자들은 이 취약점을 악용하여 스크립트를 사용해 2018년 9월 14일부터 9월 28일 사이에 2,900만 개의 계정에서 데이터를 수집했습니다. 페이스북은 비디오 업로드의 급증으로 인해 비정상적인 활동을 감지하여 문제의 기능을 제거했습니다.
메타는 여러 GDPR 규정을 준수하지 못해 막대한 벌금을 부과받았습니다. DPC는 문제가 페이스북의 취약성뿐만 아니라 메타가 사건을 완전히 보고하지 않고 취한 조치를 문서화하지 않은 것에도 기인한다고 언급했습니다.
메타는 GDPR 벌금에서 1위를 차지하며, 개인 데이터를 미국으로 전송한 것에 대해 기록적인 12억 유로의 벌금을 포함해 상위 10위 안에서 6번 처벌받았습니다. 메타는 현재 벌금에 대한 DPC의 결정에 항소할 수 있는 옵션이 있습니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.