Rendkívüli

Rendkívüli: Putyin tűzszünetet hirdet az ukrán háborúban, Trumpnak jelentette be először – ezen a napon hallgathatnak el a fegyverek

Deviza
EUR/HUF365,63 +0,51% USD/HUF313,28 +0,91% GBP/HUF422,12 +0,55% CHF/HUF395,88 +0,63% PLN/HUF85,84 +0,27% RON/HUF71,68 +0,41% CZK/HUF14,99 +0,41% EUR/HUF365,63 +0,51% USD/HUF313,28 +0,91% GBP/HUF422,12 +0,55% CHF/HUF395,88 +0,63% PLN/HUF85,84 +0,27% RON/HUF71,68 +0,41% CZK/HUF14,99 +0,41%
BÉT logó Árfolyamok: 15 perccel
késleltetett adatok
BUX132 633,84 -0,17% MTELEKOM2 482 -0,32% MOL4 044 +0,1% OTP41 730 -0,52% RICHTER12 770 +0,71% OPUS293,5 +1,21% ANY7 360 -0,54% AUTOWALLIS148,5 +0,68% WABERERS4 600 -1,71% BUMIX9 121,98 +0,03% CETOP4 377,19 +0,01% CETOP NTR2 745,64 +0,01% BUX132 633,84 -0,17% MTELEKOM2 482 -0,32% MOL4 044 +0,1% OTP41 730 -0,52% RICHTER12 770 +0,71% OPUS293,5 +1,21% ANY7 360 -0,54% AUTOWALLIS148,5 +0,68% WABERERS4 600 -1,71% BUMIX9 121,98 +0,03% CETOP4 377,19 +0,01% CETOP NTR2 745,64 +0,01%
BÉT logóÁrfolyamok: 15 perccel késleltetett adatok
GDPR

Gigabírság fenyegeti a Metát: újabb adatvédelmi botrány a „rejtett követés” miatt

A Meta egy rejtett, készüléken belüli követési megoldást alkalmazott Androidon, amellyel a webes böngészést közvetlenül a felhasználói fiókokhoz kötötte, a felhasználók tudta és hozzájárulása nélkül. A módszer egy eredetileg más célra szánt összeköttetést használt ki, megkerülve az Android és a böngészők védelmi mechanizmusait. A böngészési adatok így akkor is összekapcsolhatók maradtak a felhasználóval, ha inkognitó módot, rendszeres sütitörlést vagy egyéb adatvédelmi eszközöket használt.
Szerző képe
dr. Debisso Kinga
az Energiastratégia Intézet klímapolitikai elemzője
2025.09.01., hétfő 10:00
Gdpr App Meta Adatvédelmi Android Botrány
Fotó: Shutterstock/Mijansk786

Titokban követte a böngészést a Meta az Android telefonokon

2025 júniusában adatvédelmi és biztonsági kutatók egy új technikai megoldást tártak fel, amelyet a Meta alkalmazott Android telefonokon a felhasználók böngészési tevékenységének követésére. A módszer lényege, hogy a Facebook és az Instagram mobilalkalmazásai rejtett kommunikációs csatornát használtak a készülékeken a böngésző és az app összekötésére. Így a böngészőben végzett tevékenységet akkor is a felhasználói fiókhoz lehetett kapcsolni, ha a felhasználó a böngészőbe nem volt bejelentkezve. 

Meta,This,Illustrates,Digital,Connectivity,With,A,Mobile,Device,,Highlighting,The
Gigabírság fenyegeti a Metát: újabb adatvédelmi botrány a „rejtett követés” miatt / Fotó: Mijansk786 / Shutterstock

A technika localhostalapú követés néven vált ismertté, mivel az eszközön belüli (localhost) kommunikációt használta ki: a weboldalakba ágyazott Meta Pixel követőkód nemcsak a Meta szervereire küldte a méréseket, hanem egy eredetileg hang- és videókapcsolatra tervezett technológia (WebRTC) módosított használatával a készüléken belül a háttérben futó Facebook vagy Instagram app felé is továbbította a böngészési azonosítókat. A gyakorlat nem szerepelt a nyilvános fejlesztői dokumentációkban, a webhely-üzemeltetők és a felhasználók sem kaptak róla érdemi tájékoztatást. 

A védelem megkerülése

A rendszer egy süti (cookie) segítségével azonosította a böngészőt, majd az azonosítót a háttérben futó app felé továbbította. Mivel az alkalmazásban a felhasználó már be volt jelentkezve, a Meta a böngészési adatokat akkor is a fiókhoz tudta kapcsolni, ha a felhasználó a böngészőbe nem jelentkezett be. A felhasználók így inkognitó mód, rendszeres sütitörlés vagy más adatvédelmi eszközök használata mellett is nyomon követhetők maradtak. A megoldás olyan eszközön belüli összeköttetést használt, amelyet nem böngésző–app adatmegosztásra terveztek, és ezzel megbontotta az Android és a böngészők adatvédelmi kontrolljainak hatását: a natív alkalmazás a böngésző-azonosítókhoz is hozzáférhetett. Az azonosítómegosztás ráadásul akkor is létrejöhetett, ha a felhasználó nem járult hozzá a cookie-bannerben a követéshez, mert az azonosítási híd nem a hagyományos, sütikre épülő útvonalat használta. A módszer jellegéből adódóan az átadott adatokat elvileg bármely másik, a készüléken futó alkalmazás is gyűjthette.

Az ügy hatóköre

A követési technika 17 223 amerikai weboldalon volt aktív, ezek közül 15 677 az EU-ban is működik. Miután nyilvánosságra került az ügy, a Meta leállította a 2024 szeptembere óta zajló adatküldést. Az orosz Yandex szintén megszüntette a saját – részben 2017 óta létező – localhost csatornáját. Bár ez megakadályozza a további jogsértéseket, az eddigi adatgyűjtés felelősségi kérdése nyitva marad. A kutatók szerint a feltárt „rejtett követés” Android-felhasználók milliárdjait érinthette, iOS-en és asztali platformokon nem találtak bizonyítékot hasonló gyakorlatra.

Mely uniós szabályok sérülhettek?

Az uniós digitális jogrend több pillére is sérülhetett a „rejtett követés” során. Az általános adatvédelmi rendelet (GDPR) előírja, hogy a személyes adatok kezelése csak érvényes jogalappal történhet, hozzájárulás esetén annak a GDPR szerinti feltételeknek kell megfelelnie (önkéntes, egyértelmű, megfelelő előzetes tájékoztatáson alapuló akaratnyilvánítás, amely bármikor visszavonható). Az ePrivacy-irányelv ún. cookie-szabálya szerint a felhasználó végberendezésében információt tárolni vagy ahhoz hozzáférni főszabály szerint előzetes, GDPR szerinti hozzájárulással lehet. Ez technológiasemleges kötelezettség, ami a localhoston keresztül történő azonosításra is vonatkozik. A digitális szolgáltatásokról szóló rendelet (DSA) tiltja a különleges személyes adatokon (pl. egészség, vallás, politikai vélemény, szexuális orientáció) alapuló, profilozásra épülő hirdetések megjelenítését online platformokon. Végül a digitális piacokról szóló rendelet (DMA) kimondja, hogy a nagy platformszolgáltatók („kapuőrök”) csak GDPR szerinti hozzájárulás esetén kapcsolhatják össze a különböző szolgáltatásaikból származó személyes adatokat.

Mekkora lehet a bírság?

A DSA, a DMA és a GDPR külön-külön is jelentős szankciókat tesz lehetővé: a DSA plafonja 6 százalék, a DMA-é 10 százalék (ismételt jogsértésnél 20 százalék), a GDPR-é 4 százalék a megelőző pénzügyi év globális árbevételére vetítve. Ezek elvileg halmozódhatnak, ha elkülönült jogsértésekre külön eljárásokban kerül sor, a gyakorlatban azonban a konkrét tényállás és az esetek közötti átfedés dönt. A Meta 2024-es árbevétele 164,5 milliárd dollár volt, ennek 20 százaléka mintegy 30 milliárd dollár. Vagyis elméletileg több tízmilliárdos bírság is elképzelhető.

Elindultak a perek

Az Egyesült Államokban 2025. június 3-án csoportos kereset indult a Meta ellen, amely szerint 2024. szeptember és 2025. június között a vállalat a localhost csatornát kihasználva kapcsolta össze a mobilwebes böngészési adatokat a felhasználói profilokkal. Emellett egy másik, néhány nappal később benyújtott csoportos kereset a Metát, valamint a Google-t és anyavállalatát, az Alphabetet is perli, azt állítva, hogy az Android kialakítása és a Google elégtelen fellépése lehetővé tette a web–alkalmazás között megvalósuló azonosító-összekapcsolást. A felperes szerint mindez ellentétes a Google felhasználóinak és az Android készülékek vásárlóinak tett biztonsági és adatvédelmi ígéretekkel.

Bár az uniós adatvédelmi hatóságok, valamint a digitális szabályok végrehajtásáért felelős szervek még nem jelentettek be hivatalos vizsgálatot, szakértők szerint ez csak idő kérdése, főként a Meta korábbi jogsértései fényében. 2025. április 23-án az Európai Bizottság a DMA alapján 200 millió euróra bírságolta a Metát a „hozzájárulás vagy fizetés” modell alkalmazása miatt, és június végén jelezte, hogy elégtelen korrekció esetén napi bírságot is kiszabhat. Ez ugyan egy külön ügy, de jelzi a szabályozói szigor fokozódását.

Piaci és felhasználói tanulságok

A harmadik feles sütik visszaszorítása óta az online reklámpiaci szereplők alternatív mérési és azonosítási megoldásokat keresnek. A most feltárt web–alkalmazás közötti azonosítási híd azt mutatja, hogy a kreatív technikai megoldások könnyen átléphetik a felhasználói elvárások és a jogi garanciák határait, különösen, ha rejtett csatornákon férnek hozzá a végberendezéshez. Az ilyen nehezen észlelhető adatáramlások nemcsak adatvédelmi, hanem komoly megfelelőségi és reputációs kockázatot is jelentenek a weboldalak és a hirdetők számára. Közben a Meta – és általában a célzott hirdetésből élő platformok – üzleti ösztönzői változatlanok: a pontos profilozáshoz minél több adat szükséges. Még ha ezt a konkrét módszert le is állították, újabb megoldások fognak megjelenni, amíg a transzparencia, az érdemi hozzájárulás, a technikai korlátok és a világos platformszabályok, valamint ezek következetes érvényesítése együtt ki nem kényszerítik a tisztább gyakorlatot.

dr. Debisso Kinga
Google News Világgazdaság
A legfrissebb hírekért kövess minket a Világgazdaság.hu Google News oldalán is!

Portfóliónk minőségi tartalmat jelent minden olvasó számára. Egyedülálló elérést, országos lefedettséget és változatos megjelenési lehetőséget biztosít. Folyamatosan keressük az új irányokat és fejlődési lehetőségeket. Ez jövőnk záloga.

Bács-Kiskun - baon.hu Baranya - bama.hu Békés - beol.hu Borsod-Abaúj-Zemplén - boon.hu Csongrád - delmagyar.hu Dunaújváros - duol.hu Fejér - feol.hu Győr-Moson-Sopron - kisalfold.hu Hajdú-Bihar - haon.hu Heves - heol.hu Jász-Nagykun-Szolnok - szoljon.hu Komárom-Esztergom - kemma.hu Nógrád - nool.hu Somogy - sonline.hu Szabolcs-Szatmár-Bereg - szon.hu Tolna - teol.hu Vas - vaol.hu Veszprém - veol.hu Zala - zaol.hu
Bács-Kiskun - baon.hu Baranya - bama.hu Békés - beol.hu Borsod-Abaúj-Zemplén - boon.hu Csongrád - delmagyar.hu Dunaújváros - duol.hu Fejér - feol.hu Győr-Moson-Sopron - kisalfold.hu Hajdú-Bihar - haon.hu Heves - heol.hu Jász-Nagykun-Szolnok - szoljon.hu Komárom-Esztergom - kemma.hu Nógrád - nool.hu Somogy - sonline.hu Szabolcs-Szatmár-Bereg - szon.hu Tolna - teol.hu Vas - vaol.hu Veszprém - veol.hu Zala - zaol.hu