Η Επιτροπή Προστασίας Δεδομένων (DPC) στην Ιρλανδία επέβαλε πρόστιμο 91 εκατομμυρίων ευρώ στην Meta Platforms Ireland Limited (MPIL) για αποθήκευση σε κωδικούς πρόσβασης σε απλό κείμενο εκατοντάδων εκατομμυρίων χρηστών.
Το περιστατικό συνέβη το 2019. Εκείνη την εποχή, η Meta το αποκάλυψε δημόσια και ειδοποίησε την DPC, η οποία ξεκίνησε έρευνα για τις πρακτικές του τεχνολογικού γίγαντα για την αποθήκευση ευαίσθητων δεδομένων χρηστών.
«Τον Μάρτιο του 2019, η MPIL ειδοποίησε την DPC ότι είχε αποθηκεύσει κατά λάθος ορισμένους κωδικούς πρόσβασης χρηστών των μέσων κοινωνικής δικτύωσης σε «απλό κείμενο» στα εσωτερικά της συστήματα (δηλαδή χωρίς κρυπτογραφική προστασία ή κρυπτογράφηση)». αναφέρει η ανακοίνωση της DPC.
Στην αποκάλυψη του 2019, είπε ο Μέτα ότι είχε βρει “μερικούς κωδικούς πρόσβασης χρηστών” αποθηκευμένους στα συστήματά της σε αναγνώσιμη μορφή κατά τη διάρκεια μιας τακτικής αναθεώρησης ασφαλείας στις αρχές του έτους.
Αν και η εταιρεία δεν είπε πόσοι χρήστες επηρεάστηκαν, εκτίμησε ότι θα ειδοποιήσει «εκατοντάδες εκατομμύρια χρήστες του Facebook Lite, δεκάδες εκατομμύρια άλλους χρήστες του Facebook» και εκατομμύρια χρήστες του Instagram.
Αξίζει να σημειωθεί ότι οι κωδικοί πρόσβασης ήταν διαθέσιμοι σε εξωτερικά μέρη και από την ανασκόπηση δεν βρέθηκαν στοιχεία κατάχρησης ή ακατάλληλης πρόσβασης.
Η αποθήκευση κωδικών πρόσβασης λογαριασμών χρήστη χωρίς κατάλληλες προστασίες, όπως κρυπτογράφηση και έλεγχος πρόσβασης αποτελεί παραβίαση πολλών άρθρων του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) σχετικά με μέτρα που εφαρμόζουν οι ελεγκτές δεδομένων για την εγγύηση της ασφάλειας των δεδομένων των ατόμων:
- Άρθρο 33 παράγραφος 1 – Ειδοποίηση παραβίασης προσωπικών δεδομένων: Η Meta απέτυχε να ειδοποιήσει εγκαίρως την DPC ότι είχε αποθηκεύσει τους κωδικούς πρόσβασης χρήστη σε απλό κείμενο, γεγονός που συνιστά παραβίαση προσωπικών δεδομένων.
- Άρθρο 33 παράγραφος 5 – Τεκμηρίωση παραβίασης προσωπικών δεδομένων: Η Meta δεν τεκμηρίωσε σωστά τις παραβιάσεις προσωπικών δεδομένων που σχετίζονται με την αποθήκευση των κωδικών πρόσβασης χρήστη σε απλό κείμενο, παραλείποντας να διατηρήσει επαρκή αρχεία για το περιστατικό.
- Άρθρο 5 παράγραφος 1 στοιχείο στ) – Ακεραιότητα και εμπιστευτικότητα: Η Meta δεν εφάρμοσε επαρκή μέτρα ασφαλείας για τη διασφάλιση της προστασίας των κωδικών πρόσβασης των χρηστών, καθώς ήταν αποθηκευμένοι σε απλό κείμενο, χωρίς κρυπτογράφηση ή κρυπτογραφική προστασία.
- Άρθρο 32 παράγραφος 1 – Ασφάλεια Επεξεργασίας: Η Meta απέτυχε να εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των κωδικών πρόσβασης, όπως κρυπτογράφηση, τα οποία θα είχαν διατηρήσει την εμπιστευτικότητα των δεδομένων και θα μείωναν τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.
Για τις παραπάνω παραβάσεις και λαμβάνοντας υπόψη ότι η Meta ενημέρωσε την ιρλανδική αρχή προστασίας δεδομένων οικειοθελώς η DPC επιβάλλει επίσημη επίπληξη και διοικητικό πρόστιμο 91 εκατομμυρίων ευρώ.
Το DPC θα δημοσιεύσει σε μεταγενέστερη ημερομηνία την πλήρη απόφασή του και τις πληροφορίες σχετικά με το περιστατικό, ανέφερε η υπηρεσία.
VIA: bleepingcomputer.com
