Cyberthreat.id – Meta telah didenda sebesar € 265 Juta, atau sebesar Rp 4,3 T oleh Komisi Perlindungan Data Irlandia (DPC) atas kebocoran data Facebook besar-besaran tahun 2021 yang mengungkap informasi ratusan juta pengguna di seluruh dunia.

Dikutip dari Bleeping Computer, denda tersebut dijatuhkan setelah penyelidikan yang dilakukan oleh DPC atas potensi pelanggaran GDPR oleh Meta, yang diluncurkan pada 14 April 2021. Menyusul publikasi data milik 533 juta pengguna Facebook di forum peretas yang dilakukan melalui data scraping.

Dalam kebocoran data tersebut, data yang terungkap termasuk informasi pribadi, seperti nomor ponsel, ID Facebook, nama, jenis kelamin, lokasi, status hubungan, pekerjaan, tanggal lahir, dan alamat email. Semua data ini dibagikan di forum peretasan terkenal, memungkinkan data tersebut digunakan oleh pelaku ancaman untuk serangan yang ditargetkan.

“Ada proses penyelidikan yang komprehensif, termasuk kerja sama dengan semua otoritas pengawas perlindungan data lainnya di UE, dan otoritas pengawas itu setuju dengan keputusan DPC,” kata DPC dalam pengumuman resminya.

Facebook pada saat itu mengatakan aktor ancaman mengumpulkan data dengan mengeksploitasi kelemahan dalam alat "Pengimpor Kontak" untuk mengaitkan nomor telepon dengan ID Facebook dan kemudian mengumpulkan informasi lainnya untuk membuat profil bagi pengguna. Platform mengatakan mereka telah memperbaiki bug pada tahun 2019, dan data dikumpulkan sebelum itu.

Sebagai informasi, dalam kasus kebocoran data ini, peretas menggunakan teknik data scraping untuk mencuri data korban. Data scraping adalah bot otomatis yang mengeksploitasi API jaringan terbuka dari platform yang menyimpan data pengguna, seperti Facebook, untuk mengekstraksi informasi yang tersedia untuk umum dan membuat basis data besar profil pengguna.

Meskipun tidak ada peretasan yang terlibat, kumpulan data yang dikumpulkan oleh pencakar dapat digabungkan dengan data dari berbagai titik (situs), membuat profil lengkap pengguna, sehingga membuat pelacakan mereka dari pemasar atau penargetan dari pelaku ancaman jauh lebih efektif.

Namun, dalam kasus Meta, pelaku ancaman menggunakan cacat pada Pengimpor Kontak di Facebook dan Instagram untuk menautkan nomor telepon dengan informasi yang dikorek secara publik ini, memungkinkan mereka membuat profil yang berisi informasi pribadi dan publik.

Data scraping ini, bertentangan dengan kebijakan sebagian besar platform online, tetapi menegakkan aturan ini secara teknis rumit, seperti yang baru-baru ini disorot dengan TikTok dan WeChat.