İrlanda’daki Veri Koruma Komisyonu (DPC), yüz milyonlarca kullanıcının düz metin şifrelerini sakladığı için Meta Platforms Ireland Limited’e (MPIL) 91 milyon Euro (100 milyon $) para cezası verdi.
Olay 2019’da meydana geldi. O sırada Meta bunu kamuya açıkladı ve teknoloji devinin hassas kullanıcı verilerini depolama uygulamalarına ilişkin bir soruşturma başlatan DPC’ye bilgi verdi.
DPC’nin duyurusunda, “Mart 2019’da MPIL, DPC’ye, sosyal medya kullanıcılarının belirli şifrelerini yanlışlıkla dahili sistemlerinde ‘düz metin’ olarak (yani kriptografik koruma veya şifreleme olmadan) sakladığını bildirdi.”
Meta, 2019 yılındaki açıklamasında, yılın başında rutin bir güvenlik incelemesi sırasında sistemlerinde okunabilir bir biçimde saklanan “bazı kullanıcı şifrelerinin” bulduğunu söyledi.
Şirket kaç kullanıcının etkilendiğini söylemese de, “yüz milyonlarca Facebook Lite kullanıcısını, on milyonlarca diğer Facebook kullanıcısını” ve milyonlarca Instagram kullanıcısını bilgilendireceğini tahmin ediyordu.
Şifrelerin harici tarafların erişimine açık olduğunu ve incelemede herhangi bir kötüye kullanım veya uygunsuz erişim kanıtı bulunmadığını belirtmekte fayda var.
Kullanıcı hesabı şifrelerinin, şifreleme ve erişim kontrolü gibi uygun korumalar olmadan saklanması, veri kontrolörlerinin kişilerin verilerinin güvenliğini garanti altına almak için uyguladığı önlemlerle ilgili Genel Veri Koruma Yönetmeliği’nin (GDPR) birçok maddesinin ihlalini teşkil eder:
- Madde 33(1) – Kişisel Veri İhlalinin Bildirilmesi: Meta, kullanıcı şifrelerini düz metin olarak sakladıklarını DPC’ye zamanında bildirmedi; bu, kişisel veri ihlali teşkil eder.
- Madde 33(5) – Kişisel Veri İhlalinin Belgelenmesi: Meta, kullanıcı şifrelerinin düz metin olarak saklanmasıyla ilgili kişisel veri ihlallerini gerektiği gibi belgelemedi ve olayla ilgili yeterli kayıt tutmadı.
- Madde 5(1)(f) – Bütünlük ve Gizlilik: Meta, kullanıcıların şifrelerinin korunmasını sağlamak için yeterli güvenlik önlemlerini uygulamadı; şifreler düz metin halinde saklandığından, şifreleme veya kriptografik korumadan yoksundu.
- Madde 32(1) – İşleme Güvenliği: Meta, verilerin gizliliğini koruyacak ve yetkisiz erişim riskini azaltacak şifreleme gibi şifreleri korumak için uygun teknik ve organizasyonel önlemleri uygulama konusunda başarısız oldu.
Yukarıdaki ihlaller için ve Meta’nın İrlanda veri koruma otoritesini gönüllü olarak bilgilendirdiği göz önüne alındığında DPC, resmi bir kınama ve 91 Milyon Euro tutarında idari para cezası uygulamaktadır.
Ajans, DPC’nin olayla ilgili tam kararını ve bilgiyi daha sonraki bir tarihte yayınlayacağını söyledi.