Irlandzka Komisja Ochrony Danych domaga się od Facebooka szerszych informacji na temat ujawnionego w piątek wycieku danych, w tym "jego natury oraz skali, a także wskazania krajów Unii Europejskiej, w których mogą znajdować się poszkodowani w wyniku incydentu użytkownicy". W wydanym w tej sprawie oświadczeniu organ wyraził zaniepokojenie doniesieniami o zajściu, "którego przyczyn - pomimo tego, że dotyczy milionów kont użytkowników - Facebook jak do tej pory nie wyjaśnił". Komisja podkreśliła również, że koncern Marka Zuckerberga wciąż nie ujawnił informacji na temat ryzyka dla użytkowników dotkniętych wyciekiem.

"WSJ" przypuściło, że incydent może doprowadzić do nałożenia na Facebooka kary wynikającej z obowiązujących od maja w krajach Unii Europejskiej przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Maksymalna przewidywana wysokość grzywny to 4 proc. globalnych przychodów firmy za ostatni rok, co w przypadku Facebooka przekłada się na kwotę 1,63 mld dol. Dziennik zwrócił uwagę, że RODO zawiera zalecenie, aby firmy i organizacje zbierały tak mało danych o użytkownikach swoich usług, jak to tylko możliwe dla celów prowadzonej działalności, podczas gdy Facebook gromadzi je masowo.

Gazeta podkreśliła przy tym, że Komisja Europejska niedawno wezwała firmę Marka Zuckerberga do "dokładniejszego informowania użytkowników na temat tego, w jaki sposób ich dane są wykorzystywane". W przeciwnym razie koncern mogą czekać kary związane z naruszaniem standardów ochrony konsumentów. Serwis Tech Crunch zwrócił natomiast uwagę na kwestię tokenów dostępowych do innych usług (np. Spotify lub AirBnB), których użytkownicy korzystali z uwierzytelniania za pomocą Facebooka. Jeśli ich bezpieczeństwo również zostało naruszone, partnerzy mogą odwrócić się firmy.

Zdaniem niezależnego konsultanta ds. prywatności i cyberbezpieczeństwa dr. Łukasza Olejnika Facebook spełnił nakładany przez RODO wymóg zgłoszenia incydentu organowi ochrony danych osobowych w ciągu 72 godzin od zdarzenia. Możliwa kara finansowa będzie wobec tego orzekana według innych kryteriów, np. liczby użytkowników dotkniętych wyciekiem oraz nadużyciami względem pozyskanych przez hakerów danych.

Użytkownicy nie muszą podejmować dodatkowych działań, aby zabezpieczyć swoje konta, bo Facebook sam podjął działania w ramach kontrolowanych przez siebie systemów. W praktyce użytkownicy również niewiele mogą. Jeśli chodzi o zewnętrzne usługi wykorzystujące logowanie za pośrednictwem Facebooka, to wiele aplikacji i stron mogło nie zresetować materiału uwierzytelniającego - tłumaczy ekspert. Jego zdaniem jednym z działań zapobiegawczych, jakie mogą podjąć użytkownicy podejrzewający, że mogli paść ofiarą wycieku, jest wyczyszczenie plików cookies w przeglądarce internetowej.

Obecnie nic nie wskazuje na nadużycia w systemach zewnętrznych, nie wiadomo też, czy atakującym wystarczyło czasu na pełne wykorzystanie tak atrakcyjnej podatności bezpieczeństwa"- stwierdził Olejnik. Wydarzenie to najpewniej szybko odejdzie w zapomnienie wśród użytkowników i opinii publicznej, chyba, że rzeczywiście doszło do wykradzenia danych, które zostaną następnie użyte np. w akcjach ingerujących w procesy wyborcze - ocenił. Niezależnie od RODO Facebook musi się liczyć z możliwymi karami finansowymi w USA. Szef amerykańskiej Federalnej Komisji Handlu (FTC) Rohit Chopra napisał na Twitterze, że "domaga się od Facebooka wyjaśnień".

O wycieku danych niemal 50 mln użytkowników Facebooka koncern Marka Zuckerberga poinformował w piątek 28 września. O zdarzeniu firma dowiedziała się trzy dni wcześniej. Na dostęp do danych użytkowników serwisu pozwalała podatność w kodzie Facebooka obsługującym funkcję +Wyświetl jako+, która pozwala użytkownikom zobaczyć profil tak, jak widzą go inne osoby korzystające z serwisu