Ирската комисија за заштита на податоците (DPC) ја казни Мета со 91 милион евра за складирање на лозинките на стотици милиони корисници во јасен текст.
Епилогот од истрагата за инцидентот што се случи во март 2019 година кога компанијата го извести DPC дека при рутинска безбедносна проверка на почетокот на годината, открила дека дел од корисничките лозинки по грешка биле зачувани во нејзините внатрешни системи во читлив формат, без криптографска заштита.
Следниот месец, DPC започна истрага за практиките на технолошкиот гигант за складирање чувствителни податоци за корисници и откри дека Мета прекршила четири члена од Општата регулатива за заштита на податоците на Европската унија (GDPR).
Иако компанијата не соопшти колку корисници се погодени, таа рече дека ќе ги извести „стотици милиони корисници на Facebook Lite и десетици милиони други корисници на Facebook“, а еден месец подоцна, компанијата призна дека милиони корисници на Instagram лозинките беа слично складирани и тоа ги известува засегнатите корисници. Во таа прилика, компанијата истакна дека нема докази дека до лозинките се пристапувало неправилно или дека биле злоупотребени внатрешно.
Некои од овие лозинки датираат од 2012 година, а еден вработен изјави во тоа време дека „приближно 2.000 инженери или програмери направиле приближно девет милиони внатрешни барања за елементи на податоци кои содржеле кориснички лозинки во обичен текст“.
DPC ја казни Мета затоа што не го известил DPC навремено за прекршувањето на податоците, документирајќи ги прекршувањата на личните податоци поврзани со складирањето на корисничките лозинки во јасен текст и неуспехот да спроведе соодветни технички мерки за да се обезбеди доверливост на корисничките лозинки.
За горенаведените прекршоци, а имајќи предвид дека Мета доброволно го известила DPC , на компанијата и е изречена опомена и административна казна од 91 милион евра.
„Широко е прифатено дека корисничките лозинки не треба да се чуваат во јасен текст, со оглед на ризиците од злоупотреба што произлегуваат од поединци кои пристапуваат до такви податоци“, рече Греам Дојл, заменик-комесар во DPC, во изјава за медиумите. „Мора да се има предвид дека лозинките, кои се предмет на разгледување во овој случај, се особено чувствителни, бидејќи би овозможиле пристап до корисничките сметки на социјалните мрежи.
Одлуката на DPC ги евидентира следните наоди за прекршувањата на GDPR:
Член 33(1) GDPR, бидејќи MPIL не го извести DPC за прекршување на личните податоци поврзани со складирањето на корисничките лозинки во јасен текст
Член 33(5) GDPR, бидејќи MPIL не успеа да ги документира прекршувањата на личните податоци поврзани со складирањето на корисничките лозинки во јасен текст
Член 5(1)(ѓ) GDPR, бидејќи MPIL не користеше соодветни технички или организациски мерки за да обезбеди соодветна безбедност на корисничките лозинки од неовластена обработка
Член 32(1) GDPR, бидејќи MPIL не спроведе соодветни технички и организациски мерки за да обезбеди ниво на безбедност соодветно на ризикот, вклучувајќи ја и способноста да се обезбеди трајна доверливост на корисничките лозинки.
