Meta suspenderer overvåkingsprogram etter massiv datalekkasje

Meta suspenderte Model Capability Initiative (MCI) 22.–23. juni 2026 etter at en sikkerhetsfeil eksponerte en enorm mengde sensitive ansattdata for hele selskapet. Hendelsen ble internt klassifisert som SEV 2 – nest høyeste alvorlighetsgrad, kun over SEV 0 og SEV 1 . Stansen kom etter måneder med intern motstand mot programmet, som sporet ansattes dataaktivitet for å trene AI-agenter – men det var datalekkasjen, ikke protestene, som til slutt tvang Meta til å handle.

Hva forårsaket stansen?

En ansatt oppdaget at MCI sine backend-databaser – som spenner over over 45.000 databasetabeller – var gjort tilgjengelig for alle Meta-ansatte uten skikkelig tilgangskontroll . De eksponerte dataene inkluderte:

• Ansattes private samtaler og chattranskripsjoner
• Prompter og transkripsjoner fra interaksjoner med interne AI-verktøy
• Prestasjonsvurderinger og ledelsesinformasjon
• Noen rapporter indikerer at også ukryptert skatte- og helseopplysninger kan ha blitt fanget opp

Lekkasjen ble oppdaget før eksterne parter fikk tilgang, og Meta uttalte at ingen uvedkommende hadde fått tilgang . Men alvorlighetsgraden (SEV 2) førte til umiddelbar stans .

Programmets omfang: Hva MCI faktisk samlet inn

• Lanseringsdato: April 2026, under det bredere Agent Transformation Accelerator (ATA) -initiativet
• Hva det samlet inn: Musebevegelser, klikkplasseringer, tastetrykk og periodiske skjermbilder fra utvalgte arbeidsapper og nettsteder
• Hvem ble berørt: Amerikanske ansatte; deltakelse var i praksis obligatorisk
• Formål: Å trene Metas AI-agenter på hvordan hvitsnipparbeid faktisk utføres, ved å fange opp virkelige arbeidsflyter for å forbedre AI-automatisering
• Planlagt utvidelse: Intern dokumentasjon viste at Meta senere hadde til hensikt å utvide innsamlingen til ansatte utenfor USA, noe som vekket bekymringer knyttet til EUs GDPR-regelverk

Tidligere intern motstand

Motstanden var umiddelbar og vedvarende fra programmets lansering i april:

• Petisjon: Over 1.500 ansatte signerte en petisjon mot den obligatoriske sporingen
• CTO-beskjed: Teknologisjef Andrew Bosworth sendte ifølge rapportene en krystallklar beskjed til ansatte om at programmet var obligatorisk
• Første innrømmelser (tidlig juni): Meta trappet ned MCI – ansatte fikk mulighet til å pause innsamlingen i opptil 30 minutter av gangen, og noen datakategorier ble ekskludert
• Personvern- og juridiske bekymringer: Ansatte reiste klager om potensielle brudd på EUs GDPR-regelverk, ettersom kommunikasjon som involverte EU-kolleger kunne bli fanget opp

Personvernbekymringer og regulatorisk risiko

Programmet samlet inn data fra utvalgte arbeidsapper og nettsteder, men Reuters rapporterte at Meta erkjente at det også kunne fange opp kommunikasjon som involverte ansatte utenfor USA . EUs personvernmyndigheter begynte å undersøke om MCI brøt GDPR-kravene om samtykke, dataminimering og ansattes overvåking .

Selve datalekkasjen – ukrypterte databaser som inneholder private samtaler og prestasjonsregistre – var den kulminerende hendelsen som tvang frem stansen . Den gjorde måneder med interne personvernklager til et konkret databrudd som Meta ikke kunne ignorere.

Oppsummering

MCI ble ikke stanset på grunn av ansattes motstand alene, men på grunn av en sikkerhetskonfigurasjonsfeil som eksponerte programmets dypt sensitive datalager for hele selskapet. Hendelsen forvandlet måneder med interne personvernklager til et konkret databrudd, og tvang Meta til å stanse initiativet mens det etterforskes.