A principal entidade reguladora do Facebook na União Europeia, o Irish Data Protection Commissioner (DPC), iniciou esta quarta-feira uma investigação a propósito da falha de segurança no Facebook, que a rede social reconheceu na semana passada ter afetado aproximadamente 50 milhões de contas de utilizadores.
De acordo com o Facebook, os invasores exploraram uma vulnerabilidade – entretanto corrigida – no código da rede social, que teve impacto na função “Ver como”. Isto permitiu aos atacantes obter os tokens de acesso (que servem para que os utilizadores não precisem de reinserir os seus dados cada vez que usam a aplicação) que poderiam ser usados para assumir o controlo da conta.
A investigação da DPC visa examinar a conformidade do Facebook com as suas obrigações sob o Regulamento Geral sobre a Proteção de Dados (RGPD). A entidade reguladora procura perceber se a rede social implementou as medidas técnicas e organizacionais apropriadas para assegurar a segurança dos dados pessoais que processa.
De acordo com as novas normas de privacidade do RGPD, que entraram em vigor em maio deste ano, a falha no cumprimento das leis de privacidade resulta em multas até 4 por cento das receitas globais ou 20 milhões de euros (aquele que for o valor superior), em vez de apenas alguns milhares de euros, como estipulado anteriormente.
A DPC referiu ainda ter sido informada pelo Facebook que a rede social continua a conduzir uma investigação interna de forma a mitigar os riscos potenciais para os utilizadores. Nesta terça-feira, o Facebook comentou que os hackers não acederam a outros sites que usam o sign-on único usado pela rede social.
Segundo a agência Reuters, alguns especialistas de segurança, incluindo um antigo membro executivo do Facebook, referiram que a empresa poderá ter pintado o pior cenário possível quando reconheceu ter sido atacada para assegurar o cumprimento das novas regras do RGPD, que impõe penas pesadas às empresas que não seguem as regras estabelecidas. Entre os requisitos encontra-se a obrigatoriedade de divulgar falhas de segurança até 72 horas depois de serem descobertas. Especialistas de segurança referem que esta é uma janela de tempo curta para os investigadores determinarem o impacto real das falhas.