På fredag, en massiv strid öppnat en ny front i kriget på Facebook. Enligt företaget mer än 50 miljoner konton togs över av en typ av inloggning mask, som använt sig av en rad opublicerade sårbarheter för att kapa sessionsnycklar på en aldrig tidigare skådad skala. Hackare hade full tillgång till någon av de riktade konton — i huvudsak, de kan göra vad du kan göra när du är inloggad — och Facebook fortfarande arbetar med att kartlägga den fulla omfattningen av skadorna.
Brott svar är alltid kaotiskt, men det här är särskilt slumpartat på grund av en ny uppsättning av regler som fastställs av EU: s Allmänna uppgiftsskyddsförordningen eller GDPR. Ut i Maj, GDPR ställer strikta krav för eventuella brott som inbegriper EU-medborgare, krav som redan är vägledande Facebook: s svar till session key attack. Enligt Facebook ‘ s timeline, redovisningen på fredag kom precis innan den 72-timmars fönster för att avslöja nyheten att sekretess kommissionärer, en betydligt stramare tidsfrist än företag brukar anta.
Irländska tjänstemän är “väntar på från Facebook ytterligare brådskande uppgifter om brott mot säkerheten.”
Som krävs, Facebook skickade också mer formella anmälningar till olika privacy commissioners, som kan besluta att lämna passa över den strid. Så sent som i söndags, den Irländska dataskyddet kommissionsledamoten sade att det var “väntan från Facebook ytterligare brådskande uppgifter om brott mot säkerheten.” Den BRITTISKA eu-Kommissionär är fortfarande bestämma om landets medborgare som var inblandade, även med tanke på den omfattande räckvidd och urskillningslösa mönster av attack, det är troligt att åtminstone några av dem. “Det är alltid företagets ansvar att identifiera när BRITTISKA medborgare har drabbats som en del av ett dataintrång och att vidta åtgärder för att minska eventuella skador för konsumenterna” Kommissionsledamoten sade i ett uttalande. “Vi kommer att göra förfrågningar med Facebook och våra utländska motsvarigheter för att fastställa omfattningen av brott och om alla BRITTISKA medborgare har drabbats.” Facebook är redan inför en grupptalan i Kalifornien och vissa akter frågor från FTC, men huvuddelen av trycket förväntas komma från Europa.
Det har varit otaliga brott mot innan — Facebook har även behandlas med särskilda logga in buggar som denna — men den GDPR förändrar allt. Om företaget befinns ha brutit mot den regeln, det kan vara ansvarig för upp till fyra procent av de årliga intäkterna, en svindlande $4 miljarder. Ingen har anklagat Facebook av vårdslöshet ännu, men den grundläggande fakta i ärendet har ännu inte spikade ner — och med lagstiftare som redan är fientligt inställd till Facebook, massor av sekretess kommissionsledamöter som vill prova sin lycka. Eftersom lagen är så färskt, ingen vet säkert hur ett sådant fall skulle spela, men Facebook är redan på att förbereda sig för vad som skulle kunna vara kämpa för sitt liv.
“Det rättsmedicinska om sånt här är inte lätt”
Den nya brott är en verklig kontrast med tidigare GDPR slagsmål, som har till stor del hade att göra med politiska beslut och villkor för tjänsten. Både Facebook och Google har redan kommit under eld för att ha Användarvillkor som bryter mot förordningen, även om den passar fördes av en tredje part och har inte gjort några större framsteg. Skandaler som Cambridge Analytica presentera en annan front i kampen, där uppenbara kränkningar av privatlivet härrör från användarnas val, kringgå de flesta juridiska definitioner av ett brott. Men den senaste tidens brott är mycket enklare. Facebook borde inte ha gett dessa hackare tillgång till konton — det var inte en data-dela projekt eller en API gått fel — så det är svårt att läsa nedfall som något annat än en uppdelning i Facebook säkerhet. Frågan är bara hur mycket Facebook kommer att straffas för att de förfaller.
Under GDPR, frågan om skulden till stor del hänger på om företaget var försumlig, att ignorera grundläggande metoder som kunde ha förhindrat brott. Vi vet inte tillräckligt om attacken att döma Facebook: s svar på denna punkt, men vad är det som har hänt i det offentliga har varit tillräckligt för att tillfredsställa vissa kritiker. “Facebook har gjort ett anständigt jobb hittills baserat på vad vi känner, inklusive återställning av polletter, säger Shane Grön, grundare av Digi.mig, en alternativ plattform fokuserat på integritet. “Det rättsmedicinska om sånt här är inte lätt, och det är en knepig balans för att ge människor varning om värsta fall utan att skrämma dem till döden eller orsakar en överreaktion.”
Fortfarande, som mer i detalj kommer ut, möjligheten av en GDPR passar är svårt att ignorera. Så långt, Facebook har betonat komplexiteten i bugg — ett tre-en del säkerhetsproblem i den obskyra “Visa Som” funktion” — men det var Facebook egen produkt kod som skapats sårbarheter och lämnade dem okorrigerad för mer än ett år. Det har också varit ett antal rykten om att attacken kan ha rapporterats till Facebook i förväg av brott, rykten gjorde trovärdig genom den stormiga allmänna hot om Mark Zuckerberg konto dagen innan Facebook tillkännagivande. Inget av dessa rykten har bekräftats, men de representerar en skrämmande möjlighet för bolaget. Om något av dessa fel var rapporterade till Facebook i förväg av avtalsbrott, underlåtenhet att omgående patch kan vara ett starkt bevis i domstol.
Fallet är särskilt komplicerad eftersom hack längre än vad Facebook själva. När ett visst konto har äventyrats, anfallare också hade tillgång till någon tredje part konton som förlitat sig på Facebook för autentisering. Detta är en vanlig metod på nätet — om du någonsin klickat på “logga in via Facebook” istället för att sätta upp ett nytt lösenord, du är en del av det — men det är en farlig man i fall som detta. Facebook har återkallat äventyras logga in polletter, men det kan inte lösa hela problemet i sig. De som står utanför plattformar kommer att behöva spola deras system också, och det är troligt att det kommer att vara några som är sena att inse faran. Om att raden av angrepp som leder till ytterligare kränkningar och ytterligare skador, det är svårt att säga om ansvar kommer att falla på Facebook eller tredje-part tjänst.
För Facebook, obesvarade frågor som som är den läskigaste delen av denna juridisk härva. Ingen har någonsin rullat igenom dessa frågor innan, och vi har bara en diffus känsla av vad en stark eller svag GDPR fall ser ut. Bolaget kan vara i år av juridisk krigföring och en miljard-dollar-utbetalning — eller det kunde gå därifrån oskadd. Vi är bara några månader in i GDPR regimen, och det finns helt enkelt ingen färdplan för hur den kan användas. Politiskt, Facebook är det perfekta målet — en allt mer impopulära Amerikanska tech företag med betydande motståndare på både vänster och höger. Med den lag som fortfarande arbetar ut sig, detaljer i fallet är mindre viktig än den överväldigande politiska logik. Situationer som denna är aldrig lätt, men Facebook plockade en unikt dålig nu att ha en överträdelse.