Irlandzki organ nadzoru nakłada dużą grzywnę na Meta za przechowywanie haseł w postaci zwykłego tekstu

Irlandzka Komisja Ochrony Danych (DPC) nałożyła na Meta Platforms Ireland Limited (MPIL) karę pieniężną w wysokości 91 milionów euro za przechowywanie haseł setek milionów użytkowników w postaci zwykłego tekstu.

Według irlandzkiego organu nadzorczego takie przechowywanie bezpośrednio naruszało przepisy o ochronie danych. Problem pojawił się w 2019 r. podczas rutynowego audytu bezpieczeństwa i dotyczył przechowywania przez Meta niezaszyfrowanych haseł w swoich wewnętrznych systemach.

Decyzja DPC wynikała z problemu bezpieczeństwa sprzed 5 lat

„W ramach rutynowego przeglądu bezpieczeństwa w styczniu odkryliśmy, że niektóre hasła użytkowników były przechowywane w czytelnym formacie w naszych wewnętrznych systemach przechowywania danych” — czytamy w ostrzeżeniu bezpieczeństwa Meta. „Zwróciło to naszą uwagę, ponieważ nasze systemy logowania są zaprojektowane tak, aby maskować hasła za pomocą technik, które czynią je nieczytelnymi. Naprawiliśmy te problemy i jako środek ostrożności powiadomimy wszystkich, których hasła, jak odkryliśmy, były przechowywane w ten sposób”.

Chociaż Meta nie podała żadnych dowodów na wewnętrzne nadużycia, sama skala incydentu, w który zaangażowane były miliony użytkowników Facebook Lite i Instagrama, wzbudziła poważne obawy. Dlatego warto pamiętać o tym, aby zminimalizować swój cyfrowy ślad i zabezpieczyć swoje urządzenia za pomocą skutecznego systemu antywirusowego, np. Bitdefender Total Security, który został wyposażony w moduł antyphishingowy.

Śledztwo doprowadziło do nagany i grzywny w wysokości 91 milionów euro

Po ujawnieniu naruszenia przez Meta, DPC wszczęło dochodzenie, które zakończyło się formalną naganą i wysoką grzywną.

„Komisja Ochrony Danych (DPC) ogłosiła dziś swoją ostateczną decyzję po dochodzeniu w sprawie Meta Platforms Ireland Limited (MPIL)” — czytamy w oświadczeniu Komisji. „Dochodzenie to zostało wszczęte w kwietniu 2019 r., po tym jak MPIL powiadomiło DPC, że nieumyślnie zapisało pewne hasła użytkowników mediów społecznościowych w postaci „zwykłego tekstu” w swoich wewnętrznych systemach (tj. bez ochrony kryptograficznej lub szyfrowania)”.

Europejskie organy ochrony danych poparły decyzję DPC, podkreślając pilną potrzebę wprowadzenia solidnych wewnętrznych środków bezpieczeństwa, zwłaszcza w przypadku szczególnie poufnych danych, takich jak hasła.

Meta naprawiła problem i powiadomiła użytkowników, których dotyczył problem

Meta od tego czasu zajęła się swoim błędem i powiadomiła poszkodowanych użytkowników. Jednak decyzja DPC, motywowana powagą problemu, wydaje się być ostrzeżeniem dla gigantów technologicznych, że prywatność danych i zgodność z GDPR nie są czymś, z czym można igrać.

Mimo że decyzja DPC nie jest ostateczna, organ nadzorczy obiecał opublikować pełną decyzję i dalsze szczegóły sprawy w późniejszym terminie.