Ο Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων (DPC) επέβαλε στη Meta πρόστιμο 91 εκατ. ευρώ (περίπου 101,5 εκατομμύρια δολάρια) λόγω αποτυχίας προστασίας των κωδικών πρόσβασης χρηστών. Αυτό το πρόστιμο είναι απόκριση σε ένα περιστατικό που συνέβη το 2019, όπου εκατομμύρια κωδικοί πρόσβασης Facebook και Instagram αποθηκεύτηκαν σε απλό κείμενο, γεγονός που τους έκανε εύκολα προσβάσιμους χωρίς κρυπτογράφηση.
Το DPC λέει ότι αυτό το περιστατικό παραβίασε αρκετές διατάξεις του GDPR. Το χειρότερο είναι ότι το Facebook δεν ειδοποίησε καν τους χρήστες του για αυτήν την παραβίαση και δεν εφάρμοσε την ασφάλεια παρά μόνο μετά την ανακάλυψη της παραβίασης.
Το πρόστιμο της Meta περιλαμβάνει παραβίαση των ακόλουθων άρθρων βάσει του GDPR:
- Το άρθρο 33 παράγραφος 1 του GDPR, καθώς η MPIL απέτυχε να ειδοποιήσει την DPC για παραβίαση προσωπικών δεδομένων σχετικά με την αποθήκευση των κωδικών πρόσβασης χρηστών σε απλό κείμενο.
- Το άρθρο 33 παράγραφος 5 του ΓΚΠΔ, καθώς η MPIL απέτυχε να τεκμηριώσει παραβιάσεις προσωπικών δεδομένων σχετικά με την αποθήκευση κωδικών πρόσβασης χρήστη σε απλό κείμενο.
- Άρθρο 5 παράγραφος 1 στοιχείο στ) GDPR, καθώς η MPIL δεν χρησιμοποίησε κατάλληλα τεχνικά ή οργανωτικά μέτρα για να διασφαλίσει την κατάλληλη ασφάλεια των κωδικών πρόσβασης των χρηστών έναντι μη εξουσιοδοτημένης επεξεργασίας· και
- Το άρθρο 32 παράγραφος 1 του ΓΚΠΔ, επειδή η MPIL δεν εφάρμοσε κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο, συμπεριλαμβανομένης της ικανότητας διασφάλισης της διαρκούς εμπιστευτικότητας των κωδικών πρόσβασης των χρηστών.
Το περιστατικό συνέβη όταν οι κωδικοί πρόσβασης κατέληξαν σε μέρη των συστημάτων της Meta που δεν είχαν σχεδιαστεί πραγματικά για διαχείριση κωδικών πρόσβασης, πιθανώς ως αποτέλεσμα αρχείων καταγραφής σφαλμάτων ή σφαλμάτων. Αυτό σήμαινε ότι αυτοί οι κωδικοί πρόσβασης ήταν προσβάσιμοι σε περισσότερους από 20.000 υπαλλήλους της Meta. Οι κωδικοί πρόσβασης αποθηκεύτηκαν σε απλό κείμενο από το 2012 έως το 2019, όταν μια τακτική ανασκόπηση ασφαλείας διαπίστωσε ότι αποθηκεύονταν σε αναγνώσιμη μορφή.
Ο αναπληρωτής επίτροπος στο DPC, Graham Doyle, είπε ένα δελτίο τύπου:
«Είναι ευρέως αποδεκτό ότι οι κωδικοί πρόσβασης χρηστών δεν πρέπει να αποθηκεύονται σε απλό κείμενο, λαμβάνοντας υπόψη τους κινδύνους κατάχρησης που προκύπτουν από άτομα που έχουν πρόσβαση σε τέτοια δεδομένα. Πρέπει να ληφθεί υπόψη ότι οι κωδικοί πρόσβασης που εξετάζονται σε αυτήν την περίπτωση είναι ιδιαίτερα ευαίσθητοι, καθώς θα επέτρεπαν την πρόσβαση στους λογαριασμούς των χρηστών στα μέσα κοινωνικής δικτύωσης».
Η τυπική διαδικασία της Meta για την αποθήκευση κωδικών πρόσβασης περιλαμβάνει μια τεχνική κατακερματισμού που ονομάζεται “script”, η οποία περιλαμβάνει τη μετατροπή του πραγματικού κωδικού πρόσβασης σε μια τυχαία σειρά χαρακτήρων που δεν μπορεί να αντιστραφεί εύκολα. Αυτή η μέθοδος προστατεύει τους λογαριασμούς χρηστών διασφαλίζοντας ότι ακόμη και αν γίνει πρόσβαση στα δεδομένα, οι αρχικοί κωδικοί πρόσβασης παραμένουν ασφαλείς. Ωστόσο, οι κωδικοί πρόσβασης εξακολουθούσαν να καταλήγουν σε άλλα συστήματα της Meta.
Ο Μέτα αναγνώρισε το περιστατικό το 2019 και είπε ότι δεν υπήρχαν στοιχεία για εξωτερική πρόσβαση ή κατάχρηση αυτών των δεδομένων.
μέσω Reuters
VIA: NeoWin.net