Un ensemble de données, qui semble provenir de Facebook, a été publié gratuitement sur un site de piratage ce week-end et contient des données sur 533 millions de personnes. Un nombre important d’utilisateurs sont des utilisateurs de l’UE. La plupart des données semblent avoir été extraites il y a quelque temps des profils publics de Facebook.
Des ensembles de données antérieurs ont été publiés en 2019 et en 2018 relativement à un grattage à grande échelle du site Web Facebook qui, au moment où Facebook l’a avisé, s’est produit entre juin 2017 et avril 2018 lorsque Facebook a fermé une vulnérabilité dans sa fonction de recherche par téléphone. Parce que le grattage a eu lieu avant le RGPD, Facebook a choisi de ne pas notifier cette violation de données personnelles en vertu du RGPD.
L’ensemble de données nouvellement publié semble comprendre l’ensemble de données original de 2018 (avant le RGPD) et combiné avec des enregistrements supplémentaires, qui peuvent provenir d’une période ultérieure.
Au cours de la fin de semaine, le DPC a tenté d’établir tous les faits et continue de le faire. Il n’a reçu aucune communication proactive de Facebook. Par l’entremise d’un certain nombre de canaux, elle a cherché à obtenir des contacts et des réponses de la part de Facebook, qui ont depuis indiqué que :
D’après l’enquête menée à ce jour, l’Autorité estime que l’information contenue dans l’ensemble de données diffusé ce week-end était accessible au public et mise à jour avant les changements apportés à la plateforme en 2018 et 2019. Comme vous pouvez le constater, les données en cause semblent avoir été recueillies par des tiers et pourraient provenir de multiples sources. Elle exige donc une enquête approfondie pour établir sa provenance avec un niveau de confiance suffisant pour fournir à l’Office et aux utilisateurs des informations supplémentaires.
Facebook assure au DPC qu’il accorde la plus haute priorité à la fourniture de réponses fermes au DPC. Un pourcentage des enregistrements publiés sur le site Web du pirate contient les numéros de téléphone et l’adresse courriel des utilisateurs. Des risques se présentent pour les utilisateurs qui peuvent être spammés à des fins de marketing, mais les utilisateurs doivent également être vigilants en ce qui concerne les services qu’ils utilisent et qui nécessitent une authentification à l’aide du numéro de téléphone ou de l’adresse courriel d’une personne au cas où des tiers tenteraient d’y accéder.
Le DPC communiquera d’autres faits à mesure qu’il recevra de l’information de Facebook.