Facebook'taki veri ihlali bu kez şirkete pahalıya mal olabilir

En az 50 milyon kullanıcı etkilendi
1.63 milyar dolarlık para cezası verilebilir
Yorumlar

Avrupa Birliği'nin 2016 yılında kabul ettiği ve bu yıl mayıs ayında yürürlüğe giren Genel Veri Koruma Tüzüğü(GDPR), isminden de anlaşılacağı üzere internet şirketlerinin, kullanıcı verileriyle olan ilişkilerini düzenliyor. Verilerin korunması için neler yapılması gerektiğini belirten tüzük, bir veri ihlalinin ardından zararı en aza indirmek adına genel bir çerçeve de çiziyor. Google, Facebook ve Twitter gibi şirketler hizmet koşullarını güncelleyerek tüzüğe uygun hale getirmişler ve olası bir para cezasından kurtulmuşlardı ancak geçtiğimiz günlerde ortaya çıkan veri ihlali Facebook'a ciddi bir para cezası olarak dönebilir.

En az 50 milyon kullanıcı etkilendi

25 Eylül tarihinde tespit edilen ve 28 Eylül'de duyurulan veri ihlaline göre en az 50 milyon Facebook kullanıcısının verileri hackerların eline geçti. Facebook profilini diğer insanların nasıl gördüğünü anlamak için kullanılan Başkasının Gözünden Gör aracından kaynaklanan veri ihlali sonucunda Facebook erişim jetonlarını ele geçirdi. Dijital anahtar olarak kullanılan bu jetonlarla şifre kullanmadan Facebook'a giriş yapan hackelar, bir Facebook kullanıcısının yapabileceği her şeyi yapar hale geldi. Ayrıca bu jetonlar ile Facebook bilgileri kullanılarak girilen farklı web sitelerine de erişim sağladıkları tahmin ediliyor.

İhlali tespit ettikten sonra Başkasının Gözünden Gör aracını pasif hale getiren Facebook, jetonları da sıfırlayarak hackerların açıktan faydalanmalarını ve farklı hesaplara ulaşmalarını engelledi. Şirket ayrıca GDPR uyarınca 72 saat içinde bildirim yükümlülüğüne uygun davranarak ihlali fark ettikten sonra 72 saat geçmeden hem Avrupa’daki Veri Koruma Komisyonu’na hem de kullanıcılara bildirdi.

1.63 milyar dolarlık para cezası verilebilir

Avrupa Komisyonu, ihlali GDPR kuralları uyarınca incelerken Facebook'un ne ölçüde kusurlu olduğunu ve ihlalden sonraki süreçte GDPR kurallarına uyup uymadığını değerlendirecek. GDPR'yi daha önceki yasal düzenlemelerden ayıran en büyük farkı ise ciddi para cezalarını öngörüyor oluşu. Avrupa Komisyonu GDPR kurallarının ihlal edildiğine ve Facebook'un veri ihlalinde kusurlu olduğuna kanaat getirirse şirketin yıllık cirosunun yüzde 4'üne yani 1.63 milyar dolara varan para cezasına hükmedebilecek.

Tabi veri ihlalinin ayak izleri tespit edilmiş olsa da hackerların Başkasının Gözünden Gör aracı üzerinden nasıl saldırdığı henüz netleşmiş değil. İhlalin tamamen detaylandırılmasının ardından Komisyon, ihlali değerlendirerek kararını verecek. Veri gizliliğine odaklanan Digi.me'nin kurucusu Shane Green ise Facebook'un ihlali tespit ettikten sonra ihlalle bağlantılı araçları pasif hale getirerek ve 72 saat içinde bildirim yükümlülüğüne uyarak ihlali tespit ettikten sonra iyi bir iş çıkardığını belirtiyor. Komisyon bu durumu göz önünde bulundurarak cezayı üst sınırdan(1.63 milyar dolar) vermekten vazgeçebilir.