Meta ukarana na 101,5 miliona dolarów za naruszenie bezpieczeństwa haseł

Europejski regulator ochrony prywatności Unii Europejskiej nałożył na firmę Meta karę w wysokości 91 milionów euro ($101.5 milionów) za niedostateczne środki bezpieczeństwa dotyczące haseł użytkowników.

Dziś, irlandzka Komisja Ochrony Danych (DPC) ogłosiła swoje ostateczne orzeczenie w sprawie dotyczącej Meta Platforms Ireland Limited (MPIL).

Ogłoszenie informuje, że śledztwo rozpoczęło się w kwietniu 2019 roku, kiedy MPIL zgłosiło, że przez pomyłkę przechowywało hasła niektórych użytkowników mediów społecznościowych w „tekście jawnym”, co oznacza, że były one przechowywane bez jakiegokolwiek szyfrowania czy kryptograficznej ochrony w jego wewnętrznych systemach.

Ten incydent wzbudził poważne obawy dotyczące bezpieczeństwa danych użytkowników i zgodności z Ogólnym Rozporządzeniem o Ochronie Danych (GDPR).

Zastępca Komisarza, Graham Doyle, podkreślił powagę przechowywania haseł w postaci nieszyfrowanej, mówiąc podczas ogłoszenia,

„Powszechnie przyjmuje się, że hasła użytkowników nie powinny być przechowywane w formie nieszyfrowanej, biorąc pod uwagę ryzyko nadużycia, które wynika z dostępu osób do takich danych.”

„Należy pamiętać, że hasła będące przedmiotem rozważań w tym przypadku są szczególnie wrażliwe, ponieważ umożliwiłyby dostęp do kont użytkowników na portalach społecznościowych,” dodał.

W czerwcu 2024 roku DPC przedstawiło projekt decyzji dotyczącej tego przypadku innym zainteresowanym organom nadzorczym na terenie Unii Europejskiej i Europejskiego Obszaru Gospodarczego.

Ponieważ nie zgłoszono żadnych zastrzeżeń do projektu, DPC przystąpiło do finalizowania swojej decyzji. 26 września DPC poinformowało MPIL, że spotka je nagana oraz surowa grzywna w wysokości 91 milionów euro (około 101,5 miliona dolarów) za ich zaniedbania.

DPC zidentyfikowało wiele naruszeń RODO w swoich ustaleniach. Konkretnie, MPIL zostało ukarane za niepowiadomienie DPC o naruszeniu ochrony danych osobowych dotyczącym niezaszyfrowanego przechowywania haseł użytkowników.

Ponadto, komisja zauważyła, że MPIL nie udokumentowała naruszeń. Dodatkowo, DPC stwierdziło, że MPIL nie wprowadziło odpowiednich technicznych ani organizacyjnych środków, aby chronić hasła użytkowników przed nieautoryzowanym dostępem.

Na koniec, DPC oskarża MPIL o niezastosowanie adekwatnych środków bezpieczeństwa odpowiednich dla ryzyka związanego z przetwarzaniem haseł.

Według rzecznika Meta, który napisał email do Bloomberga, problem został odkryty podczas przeglądu bezpieczeństwa w 2019 roku.

Rzecznik napisał: „Podjęliśmy natychmiastowe działania, aby naprawić ten błąd, i nie ma dowodów, że te hasła były wykorzystywane niewłaściwie lub bezprawnie dostępne.”

„Aktywnie zasygnalizowaliśmy ten problem naszemu głównemu regulatorowi, Irlandzkiej Komisji Ochrony Danych, i konstruktywnie współpracowaliśmy z nimi przez cały czas trwania tego dochodzenia” – oświadczył rzecznik.

Ta najnowsza grzywna zwiększa rosnącą listę kar GDPR nałożonych na Meta, która już zawiera kilka z najwyższych grzywien kiedykolwiek nałożonych na gigantów technologicznych, jak donosi TechCrunch.

To podkreśla trwające problemy firmy z przestrzeganiem prywatności i stawia pytania o jej zdolność do skutecznej ochrony danych użytkowników.