Πρόστιμο €91 εκατ. στη Meta επειδή είχε αποθηκευμένα εκατομμύρια passwords χρηστών σε απλό κείμενο
Η ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) επέβαλε στην Meta πρόστιμο ύψους 91 εκατ. ευρώ μετά την ολοκλήρωση της έρευνας σχετικά με παραβίαση της ασφάλειας το 2019, κατά την οποία η εταιρεία αποθήκευσε κατά λάθος τα passwords των χρηστών σε απλό κείμενο. Η αρχική ανακοίνωση της Meta μιλούσε μόνο για το πώς βρήκε κάποιους κωδικούς πρόσβασης χρηστών αποθηκευμένους σε απλό κείμενο στους servers της τον Ιανουάριο του ίδιου έτους. Αλλά ένα μήνα αργότερα, ενημέρωσε την ανακοίνωσή της για να αποκαλύψει ότι εκατομμύρια passwords του Instagram ήταν επίσης αποθηκευμένοι σε εύκολα αναγνώσιμη μορφή.
Παρόλο που η Meta δεν ανέφερε πόσοι λογαριασμοί επηρεάστηκαν, ένας ανώτερος υπάλληλος δήλωσε τότε στο Krebs on Security ότι το περιστατικό αφορούσε έως και 600 εκατομμύρια passwords. Ορισμένα από αυτά τα συνθηματικά ήταν αποθηκευμένα σε εύκολα αναγνώσιμη μορφή στους servers της εταιρείας από το 2012. Φέρεται επίσης να ήταν αναζητήσιμοι από περισσότερους από 20.000 υπαλλήλους του Facebook, αν και η DPC διευκρίνισε στην απόφασή της ότι τουλάχιστον δεν ήταν διαθέσιμοι σε εξωτερικούς φορείς.
Η DPC διαπίστωσε ότι η Meta παραβίασε αρκετούς κανόνες του GDPR. Διαπίστωσε ότι η εταιρεία απέτυχε να «κοινοποιήσει στην DPC παραβίαση δεδομένων προσωπικού χαρακτήρα που αφορά την αποθήκευση κωδικών πρόσβασης χρηστών σε απλό κείμενο» χωρίς αδικαιολόγητη καθυστέρηση και απέτυχε να «τεκμηριώσει παραβιάσεις δεδομένων προσωπικού χαρακτήρα που αφορούν την αποθήκευση κωδικών πρόσβασης χρηστών σε απλό κείμενο». Είπε επίσης ότι η Meta παραβίασε τον GDPR, καθώς δεν χρησιμοποίησε κατάλληλα τεχνικά μέτρα για να διασφαλίσει την ασφάλεια των κωδικών πρόσβασης των χρηστών έναντι μη εξουσιοδοτημένης επεξεργασίας.
«Είναι ευρέως αποδεκτό ότι τα passwords των χρηστών δεν πρέπει να αποθηκεύονται σε απλό κείμενο, λαμβάνοντας υπόψη τους κινδύνους κατάχρησης που προκύπτουν από την πρόσβαση ατόμων σε τέτοια δεδομένα. Πρέπει να ληφθεί υπόψη, ότι τα passwords που αποτελούν αντικείμενο εξέτασης στην παρούσα υπόθεση, είναι ιδιαίτερα ευαίσθητα, καθώς θα επέτρεπαν την πρόσβαση στους λογαριασμούς των χρηστών στα μέσα κοινωνικής δικτύωσης», ανέφερε σε δήλωσή του ο αναπληρωτής Επίτροπος της DPC, Graham Doyle.
Η DPC επέβαλε επίσης στην εταιρεία επίπληξη εκτός από την ποινή.
[via]