Meta kažnjena sa 91 milion evra: Otkriven način na koji su čuvali lozinke korisnika Facebooka i Instagrama - napravili ogroman propust

Irska komisija za zaštitu podataka (DPC) kaznila je Metu sa 91 miliona evra zbog čuvanja lozinki stotina miliona korisnika u otvorenom tekstu.

Shutterstock

Epilog istrage o incidentu koji se dogodio u martu 2019. godine kada je kompanija obavestila DPC da je tokom rutinske bezbednosne provere početkom godine otkrila da je deo korisničkih lozinki greškom čuvan u njenim internim sistemima u čitljivom formatu, bez kriptografske zaštite.

DPC je sledećeg meseca pokrenuo istragu o praksi tehnološkog giganta za čuvanje osetljivih korisničkih podataka i utvrdio da je Meta prekršila četiri člana Opšte uredbe Evropske unije o zaštiti podataka (GDPR).

Shutterstock 

Iako kompanija nije navela koliko je korisnika pogođeno, rekla je da će obavestiti „stotine miliona korisnika Facebook Lite i desetine miliona drugih korisnika Facebooka“, a mesec dana kasnije, kompanija je priznala da su i milioni lozinki korisnika Instagrama takođe čuvani na sličan način i da obaveštava pogođene korisnike. Kompanija je tom prilikom napomenula da nema dokaza da se lozinkama nepropisno pristupalo ili da su interno zloupotrebljavane.

Neke od ovih lozinki datiraju iz 2012. godine, a jedan zaposleni je tada izjavio da je „oko 2000 inženjera ili programera napravilo otprilike devet miliona internih upita za elemente podataka koji su sadržali korisničke lozinke u otvorenom tekstu“.

Shutterstock 

DPC je kaznio Metu što nije pravovremeno obavestila DPC o povredi podataka, dokumentovala povrede ličnih podataka koje se tiču čuvanja korisničkih lozinki u otvorenom tekstu i nije primenila odgovarajuće tehničke mere kako bi obezbedila poverljivost korisničkih lozinki.

Za navedene prekršaje, a imajući u vidu da je Meta dobrovoljno obavestila DPC, kompaniji je izrečena opomena i administrativna kazna od 91 miliona evra.

Shutterstock 

„Široko je prihvaćeno da korisničke lozinke ne treba čuvati u otvorenom tekstu, s obzirom na rizike zloupotrebe koje proističu od osoba koje pristupaju takvim podacima“, rekao je Grejem Dojl, zamenik komesara u DPC-u, u izjavi za medije. „Mora se imati u vidu da su lozinke, koje su predmet razmatranja u ovom slučaju, posebno osetljive, jer bi omogućile pristup nalozima korisnika na društvenim mrežama.“

Odluka DPC-a beleži sledeće nalaze o kršenju GDPR-a:

  • Član 33(1) GDPR, pošto MPIL nije obavestio DPC o povredi ličnih podataka u vezi sa skladištenjem korisničkih lozinki u otvorenom tekstu
  • Član 33(5) GDPR, pošto MPIL nije uspeo da dokumentuje povrede ličnih podataka koje se odnose na čuvanje korisničkih lozinki u otvorenom tekstu
  • Član 5(1)(f) GDPR, pošto MPIL nije koristio odgovarajuće tehničke ili organizacione mere da obezbedi odgovarajuću bezbednost korisničkih lozinki od neovlašćene obrade
  • Član 32(1) GDPR, jer MPIL nije primenio odgovarajuće tehničke i organizacione mere kako bi obezbedio nivo bezbednosti koji odgovara riziku, uključujući mogućnost da se obezbedi stalna poverljivost korisničkih lozinki

 Izvor: Informacija/Kurir/Darko Mulic