Dėl saugumo spragos, slypėjusios svetainės „View As“ ir vaizdo įrašų įkrovimo funkcionalumuose, „Facebook“ buvo priversti perkrauti 50 mln. vartotojų prieigos žetonų, apie kurių nesaugumą buvo tikrai žinoma, dar 40 mln. žetonų buvo perkrauti „dėl visa ko“. Vartotojai apie jų žetonų perkrovimą galėjo suprasti pagal tai, kad jungiantis prie socialinio tinklo ar kitų paslaugų, kuriose autentifikavimas buvo vykdoma per „Facebook“, jų buvo paprašyta prisijungti iš naujo.
Patys socialinio tinklo atstovai nekomentavo, ar programišiai paėmė kokius nors duomenis iš pažeistų paskyrų, tačiau „Facebook“ viceprezidentas produktas Guy'us Rosenas žurnalistams pareiškė, kad buvo bandymų rinkti privačią informaciją iš „Facebook“ sistemų. Apie galimą žalą, kurią vartotojai patyrė dėl trečiųjų šalių paslaugų pažeidžiamumo, „Facebook“ atstovams nėra žinoma.
Nėra žinoma, ar programišiai galėjo gauti prieigą prie pačios jautriausios socialiniame tinkle esančios informacijos, kaip, pavyzdžiui, asmeninių susirašinėjimų turinio ar privačių nuotraukų. „Facebook“ nurodė, kad kibernetinė ataka buvo labai gudriai sugalvota, kad jų atsakas dabar yra tik pradinėje vykdymo stadijoje ir kad gali būti, jog niekada nebus sužinota, kas yra tie kibernetiniai nusikaltėliai.
Leidinys „Wall Street Journal“ rašė, kad Europos Sąjungos privatumo apsaugos institucija, taip pat užsiimanti situacijos tyrimu – Airijos duomenų apsaugos komisija (IDPC) – kol kas neturi daug patikimos informacijos apie tai, kas nutiko.
IDPC, atsakinga už „Facebook“ duomenų privatumo kontrolę Europoje, šeštadienį informavo, kad iš socialinio tinklo pareikalauta daugiau informacijos apie skaitmeninio įsilaužimo pobūdį bei mastą, taip pat – ar šio įsilaužimo metu nukentėjo ES gyventojai.
Elektroniniu paštu platintame pareiškime IDPC atstovai nurodė, kad jie „susirūpinę dėl fakto, kad šis įsilaužimas buvo aptiktas antradienį ir paveikė milijonus vartotojų paskyrų, tačiau „Facebook“ iki šiol nesugeba atskleisti įsilaužimo pobūdžio ir grėsmės vartotojams“.
Negalima atmesti tikimybės, kad dėl šio įsilaužimo Europos Sąjunga baus „Facebook“ griežčiausia įmanoma bausme, kokią leidžia nuo gegužės mėnesio įsigaliojęs Bendrasis duomenų apsaugos reglamentas (BDAR) – 4 procentais įmonės pasaulinių pajamų už praėjusius metus. Arba 1,4 mlrd. eurų.
BDAR nurodo, kad įmonės, nepakankamai užtikrinančios savo vartotojų domenų saugumo, gali būti baudžiamos 20 mln. eurų arba 4 proc. pasaulinių tos įmonės pajamų už praėjusius metus (priklausomai nuo to, kuri suma yra didesnė) bauda.
Tas pats įstatymas reikalauja, kad įmonės apie kibernetinį įsilaužimą atitinkamas valdžios institucijas informuotų per 72 valandas – šio reikalavimo nesilaikymas įmonei gali kainuoti dar 2 procentus metinių pajamų.
Kol kas BDAR reglamente nustatytų finansinių nuobaudų taikyti dar neteko ir nėra žinoma, ar IDPC atstovai nuspręs, kad „Facebook“ tikrai nesiėmė pakankamų priemonių vartotojų duomenų saugumo užtikrinimui, o net jeigu ir nuspręs – nežinia, ar „Facebook“ kaltė iš tiesų bus įvertinta 1,4 mlrd. eurų.
Viena iš BDAR rekomendacijų įmonėms – saugoti kiek įmanoma mažiau asmeninės vartotojų informacijos. Tikėtina, kad dėl šios rekomendacijos nesilaikymo pareigūnai bus nusiteikę „Facebook“ bausti skaudžiau. Neseniai Europos Komisija pareikalavo, kad „Facebook“ skaidriau parodytų, kaip yra panaudojami jų vartotojų asmeniniai duomenys.
Tikimybė, kad „Facebook“ dėl šio incidento bus kaip nors baudžiami Jungtinės Amerikos Valstijose, kur BDAR atitikmens nėra, yra gerokai mažesnė, nors Federalinė prekybos komisija dar nebaigė tirti „Cambridge Analytica“ skandalo, kuomet buvo pažeistos 2,2 mlrd. socialinio tinklo vartotojų sutikimo naudoti jų asmens duomenis taisyklės. Tikėtina, kad ši nuodėmė „Facebook“ taip pat kainuos daugiau nei milijardą dolerių.
Savaitgalį „Facebook“ savo vartotojams išsiuntė įspėjimus dėl galimo įsilaužimo, tačiau įspėjimas buvo siunčiamas kaip įrašas viršutinėje naujienų juostos pozicijoje, pavadintas „An Important Security Update“. Tikimasi, kad gigantiško socialinio tinklo kūrėjai netrukus pradės platinti daugiau informacijos apie įsilaužimą, tačiau savaitgalį taikytas „tylos režimas“, anot „Gizmodo“, yra ženklas, kad arba „Facebook“ specialistai vis dar renka duomenis apie situaciją, arba neapsispręsta, kaip šią informaciją viešinti.
