Datenschutzbeauftragte der Europäischen Union haben am Montag den Facebook-Besitzer Meta mit Geldstrafen in Höhe von insgesamt 251 Millionen Euro belegt, nachdem eine Untersuchung zu einem Datenverstoß auf der Social-Media-Plattform im Jahr 2018 durchgeführt wurde, bei dem Millionen von Konten offengelegt wurden.
Die irische Datenschutzkommission verhängte die Strafen nach Abschluss ihrer Untersuchung des Verstoßes, bei dem Hacker sich Zugang zu Benutzerkonten verschafften, indem sie Fehler im Code der Plattform ausnutzten, die es ihnen ermöglichten, digitale Schlüssel, sogenannte „Zugriffstoken“, zu stehlen.
Im Rahmen der strengen Datenschutzbestimmungen der 27 EU-Staaten ist die irische Aufsichtsbehörde die führende Datenschutzbehörde von Meta, da sich der regionale Hauptsitz des Unternehmens in Dublin befindet.
Die Aufsichtsbehörde verhängte Verweise und „Verwaltungsstrafen“ im Wert von 251 Millionen Euro, nachdem sie mehrere Verstöße gegen die als Datenschutz-Grundverordnung bekannten Regeln festgestellt hatte.
Das Unternehmen kündigte an, gegen die Entscheidung Berufung einzulegen.
„Diese Entscheidung bezieht sich auf einen Vorfall aus dem Jahr 2018. Wir haben sofort Maßnahmen ergriffen, um das Problem zu beheben, sobald es erkannt wurde“, sagte Meta in einer Erklärung. Das Unternehmen sagte, es habe „die betroffenen Menschen proaktiv informiert“ und auch die irische Aufsichtsbehörde informiert.
Als Facebook das Problem zum ersten Mal bekannt gab, gab es an, dass 50 Millionen Benutzerkonten betroffen seien. Aber die tatsächliche Zahl lag bei etwa 29 Millionen, davon 3 Millionen in Europa, teilte die irische Aufsichtsbehörde am Dienstag mit.
Das Unternehmen gab an, nach der Entdeckung des Fehlers das FBI und die Aufsichtsbehörden in den USA und Europa alarmiert zu haben.
Bei dem Hack handelte es sich um drei verschiedene Fehler in der „Anzeigen als“-Funktion von Facebook, die es den Nutzern ermöglicht, zu sehen, wie ihre Profile für andere angezeigt werden. Die Angreifer nutzten die Sicherheitslücke, um Zugriffstoken aus den Konten von Personen zu stehlen, deren Profile bei Suchanfragen mit der Funktion „Anzeigen als“ auftauchten. Der Angriff verlagerte sich dann vom Facebook-Freund eines Benutzers auf einen anderen. Der Besitz dieser Token würde es Angreifern ermöglichen, diese Konten zu kontrollieren.