La turbia historia de Facebook de permitir que las aplicaciones de terceros se ayuden a sí mismas con los datos de los usuarios que quizás recuerdes estalló en un gran escándalo de privacidad global en 2018 (también conocido como Cambridge Analytica), aumentando el precio de las acciones de la compañía, lo que llevó a su fundador a ser llevado frente a El Congreso, y finalmente, a mediados de 2019, a un acuerdo de $ 5BN con la FTC sobre lo que a veces se informaba eufemísticamente como ‘lapsos de privacidad’, parece estar volviendo para atormentarlo a través de un descubrimiento legal no sellado.
Los documentos internos en un litigio de privacidad relacionado que surgió a fines del mes pasado provocaron que los presidentes del Comité Selecto de Inteligencia del Senado de los EE. UU., Mark Warner y Marco Rubio, escribieran una carta a Mark Zuckerberg de Meta para hacerle nuevas preguntas sobre lo que él y su compañía sabían. cuántos datos de usuario estaba filtrando la plataforma en ese entonces. Y qué implicaciones de seguridad pueden tener dichas filtraciones.
La cuestión es que, según los documentos revelados, la compañía ahora conocida como Meta parece haber sospechado que los desarrolladores de jurisdicciones de alto riesgo donde se sabe que los regímenes autoritarios “recopilan datos para objetivos de inteligencia y ciberespionaje”, incluidos Corea del Norte, Rusia, China y Irán: se encontraban entre los miles que también accedían a los datos personales de los usuarios de Facebook a través del mismo tipo de ruta de permisos de datos de amigos que el desarrollador contratado, GSR, extrajo el conjunto de datos de Cambridge Analytica.
“Parece de estos documentos que Facebook ha sabido, al menos desde septiembre de 2018, que cientos de miles de desarrolladores en países que Facebook caracterizó como de “alto riesgo”, incluida la República Popular China (RPC), tenían acceso a cantidades significativas de datos confidenciales del usuario”, escriben.
“Como presidente y vicepresidente del Comité Selecto de Inteligencia del Senado, tenemos serias preocupaciones sobre la medida en que este acceso podría haber permitido la actividad de los servicios de inteligencia extranjeros, que van desde la influencia maligna extranjera hasta la selección de objetivos y la actividad de contrainteligencia”, dijo la pareja. add, presionando a Meta para que responda a una serie de preguntas sobre cómo actuó después de que su auditoría interna señalara que miles de desarrolladores podrían haber accedido a los datos de los usuarios en ubicaciones de alto riesgo.
Es justo decir que a Meta no le gusta insistir en un escándalo de fallas en el acceso a datos/aplicación de políticas que llevó a su fundador a sentarse en un asiento elevado en el Congreso y ser acosado con preguntas por los airados legisladores estadounidenses. Muy posiblemente porque pagó $ 5 mil millones a la FTC para que todo el escándalo desapareciera, un acuerdo que convenientemente otorgó inmunidad general a sus ejecutivos por cualquier violación de privacidad conocida o desconocida.
Pero el problema con Meta que quiere que todo el episodio sea archivado como ‘resuelto para siempre’ es que en realidad nunca ha respondido todas las preguntas que los legisladores hicieron en ese momento. Ni en los años siguientes, ya que han surgido detalles adicionales.
Ni siquiera ha publicado los resultados de la auditoría de aplicaciones de terceros que Zuckerberg prometió que se llevaría a cabo en 2018. (Aunque descubrimos, indirectamente, en 2021, que un acuerdo al que llegó con el organismo de control de la privacidad del Reino Unido incluía una cláusula de mordaza que impedía que el comisionado hablara públicamente sobre la investigación).
Sin embargo, esta auditoría de aplicaciones de terceros aún no publicada formó la piedra angular de la respuesta de relaciones públicas de Facebook a la crisis en ese momento: una contabilidad integral prometida que protegió con éxito a Zuckerberg y su empresa de un escrutinio más profundo. Exactamente cuando la presión era mayor para que explicara cómo la información de millones de usuarios fue extraída de su plataforma por un desarrollador con De buena fe acceder a sus herramientas sin el conocimiento o consentimiento de los usuarios reales de Facebook.
El precio de este blindaje probablemente haya sido bastante alto, tanto para la reputación de Meta (que, después de todo, sintió la necesidad de emprender un costoso cambio de marca corporativa y tratar de replantear su negocio en el nuevo campo de la realidad virtual); y también en futuros costos de cumplimiento (que obviamente no solo afectarán a Meta) ya que varias leyes redactadas en los años posteriores al escándalo buscan poner nuevos límites operativos a las plataformas. Límites que a menudo se justifican por un marco que pone en primer plano la percepción de la falta de responsabilidad de Big Tech. (Consulte, por ejemplo, la Ley de seguridad en línea del Reino Unido, que incluso incluye, en una adición reciente, sanciones penales para los directores ejecutivos que infrinjan los requisitos. O la Ley de servicios digitales y la Ley de mercados digitales de la UE).
Aún así, Meta ha tenido un gran éxito al evitar el tipo de escrutinio profundo de sus procesos internos, políticas y toma de decisiones que allanaron el camino para que Cambridge Analytica se llevara a cabo bajo la supervisión de Zuckerberg y, potencialmente, para decenas de robos de datos similares. , al menos según los detalles que surjan a través del descubrimiento legal.
Esta es la razón por la que el espectro de la reaparición de la rendición de cuentas fallida de Facebook es una visualización convincente. (Ver también: Un litigio de privacidad que Meta finalmente decidió resolver el año pasado, con un momento que aparentemente ahorró a Zuckerberg y a la ex directora de operaciones Sheryl Sandberg de tener que comparecer en persona después de haber sido declarados para dar testimonio, por un precio de liquidación que no fue revelado.)
Queda por ver si surge algo sustancial de la última visita del fantasma de los escándalos de privacidad de Facebook sin resolver. Pero Meta ahora tiene una nueva lista larga de preguntas incómodas de los legisladores. Y si trata de eludir respuestas sustantivas, sus ejecutivos podrían enfrentar una nueva citación para un interrogatorio público del comité. (Nunca es el crimen, es el encubrimiento, etc, etc.)
Esto es lo que el Comité le pide a Meta que responda con respecto a los hallazgos de la investigación interna:
1) El documento sin sellar señala que Facebook realizó revisiones separadas de los desarrolladores con sede en la República Popular China. [People’s Republic of China] y Rusia “dado el riesgo asociado con esos países”.
- ¿Qué revisiones adicionales se realizaron sobre estos desarrolladores?
- ¿Cuándo se completó esta revisión adicional y cuáles fueron las principales conclusiones?
- ¿Qué porcentaje de los desarrolladores ubicados en la República Popular China y Rusia pudo identificar definitivamente Facebook?
- ¿Qué comunicaciones, si las hubo, ha tenido Facebook con estos desarrolladores desde su identificación inicial?
- ¿Qué criterios utiliza Facebook para evaluar el “riesgo asociado con” la operación en la República Popular China y Rusia?
2) Para los desarrolladores identificados como ubicados dentro de la República Popular China y Rusia, proporcione una lista completa de los tipos de información a los que estos desarrolladores tuvieron acceso, así como los plazos asociados con dicho acceso.
3) ¿Tiene Facebook registros completos sobre la frecuencia con la que los desarrolladores de jurisdicciones de alto riesgo accedieron a sus API y las formas de acceso a los datos?
4) Proporcione una estimación de la cantidad de usuarios discretos de Facebook en los Estados Unidos cuyos datos se compartieron con un desarrollador ubicado en cada país identificado como “jurisdicción de alto riesgo” (desglosado por país).
5) El documento interno indica que Facebook establecería un marco para identificar a los “desarrolladores y aplicaciones determinadas como potencialmente más riesgosas[.]”
- ¿Cómo estableció Facebook esta rúbrica?
- ¿Cuántos desarrolladores y aplicaciones con sede en China y Rusia alcanzaron este umbral? ¿Cuántos desarrolladores y aplicaciones en otras jurisdicciones de alto riesgo alcanzaron este umbral?
- ¿Cuáles fueron las características específicas de estos desarrolladores que dieron lugar a esta determinación?
- ¿Facebook identificó a algún desarrollador como demasiado riesgoso para operar con seguridad? Si es así, ¿cuál?
6) El documento interno hace referencia a su compromiso público de “realizar una auditoría completa de cualquier aplicación con actividad sospechosa”.
- ¿Cómo caracteriza Facebook la “actividad sospechosa” y cuántas aplicaciones desencadenaron este proceso de auditoría completo?
7) ¿Facebook tiene alguna indicación de que el acceso de algún desarrollador haya permitido una actividad no auténtica coordinada, una actividad dirigida o cualquier otro comportamiento malicioso por parte de gobiernos extranjeros?
8) ¿Tiene Facebook alguna indicación de que el acceso de los desarrolladores permitió publicidad maliciosa u otra actividad fraudulenta por parte de actores extranjeros, como se reveló en los informes públicos?
Cuando se le pidió una respuesta a las preocupaciones de los legisladores, el portavoz de Meta, Andy Stone, no respondió a preguntas específicas, incluido si finalmente publicará la auditoría de la aplicación; y si se comprometerá a informar a los usuarios cuya información se vio comprometida como resultado de las características de su plataforma de desarrollador (así que presumiblemente eso es un ‘no’ y un ‘no’), optando en su lugar por enviar esta breve declaración:
Estos documentos son un artefacto de un producto diferente en un momento diferente. Hace muchos años, hicimos cambios sustanciales en nuestra plataforma, cerrando el acceso de los desarrolladores a tipos clave de datos en Facebook mientras revisamos y aprobamos todas las aplicaciones que solicitan acceso a información confidencial.
