Genel Veri Koruma Yönetmeliği (GDPR), Yönetişim ve Risk Yönetimi, Şifre ve Kimlik Bilgisi Yönetimi
Ceza, 2019’da Meta’nın Kullanıcı Şifrelerini Düz Metin Olarak Sakladığının Açıklanması İçindir
Akşaya Asokan (asokan_akshaya) •
27 Eylül 2024
İrlandalı veri düzenleyici kurum, yapılan bir soruşturmanın şirketin milyonlarca Avrupalı Facebook ve Instagram kullanıcısının şifrelerini güvenli olmayan bir şekilde sakladığının ortaya çıkmasının ardından sosyal medya devi Meta’ya 91 milyon euro para cezası verdi.
Ayrıca bakınız: İşletmenizin Güvenliğini Sağlama Parola Güvenliğiyle Başlar
Veri Koruma Komiserliği Ofisi, şirketin Facebook ve Instagram kullanıcılarının şifrelerini yanlışlıkla düz metin olarak sakladığını düzenleyici kuruma bildirmesinin ardından 2019 yılında Meta Ireland hakkında bir soruşturma başlattı.
Ajans Cuma günü yaptığı açıklamada, Meta’nın şifreleri daha az güvenli bir şekilde saklayarak Genel Veri Koruma Yönetmeliği kapsamındaki birçok gizlilik şartını ihlal ettiğini söyledi.
Bunlar arasında düzenleyici kuruma bir olay hakkında zamanında bilgi verilmemesi, olayın kullanıcıların kişisel verileri üzerindeki etkisinin belgelenmemesi, kullanıcıların verilerinin güvenliğini sağlamak için uygun teknik önlemlerin uygulanmaması ve verilerin gizliliğinin sağlanamaması yer alıyor.
Komiser Yardımcısı Graham Doyle, “Kişilerin bu tür verilere erişmesinden kaynaklanan kötüye kullanım riskleri göz önüne alındığında, kullanıcı şifrelerinin düz metin olarak saklanmaması gerektiği yaygın olarak kabul edilmektedir” dedi. “Bu durumda ele alınan konu olan şifre, kullanıcıların sosyal medyaya erişimini sağlayacağından özellikle hassastır.”
Bir Meta sözcüsü, şirketin sorunu 2019’daki bir güvenlik incelemesinin ardından tespit ettiğini ve sorunu çözmek için “acil harekete” geçtiğini söyledi.
Sözcü, Information Security Media Group’a “Bu şifrelerin kötüye kullanıldığına veya uygunsuz şekilde erişildiğine dair hiçbir kanıt yok. Bu soruşturma boyunca Birleşik Krallık DPC ile yapıcı bir şekilde iletişim kurduk” dedi. Açıklama, şirketin olayı açıklarken söylediklerini tekrarlıyor ve 2019’da “bu şifreler hiçbir zaman Facebook dışındaki hiç kimse tarafından görülmedi ve bugüne kadar herhangi birinin şirket içinde kötüye kullanıldığına veya bunlara uygunsuz bir şekilde eriştiğine dair hiçbir kanıt bulamadık.” Etkilenen hesapların sayısının yüz milyonlarca olduğu tahmin ediliyor.
Sözcü, 2019’dan bu yana kullanıcılarına gelişmiş güvenlik sunmak için çok faktörlü kimlik doğrulamayı ve uçtan uca şifrelemeyi güçlendirdiğini ekledi.
Meta, son aylarda gizlilik uygulamaları nedeniyle Avrupalı veri düzenleyicilerinin çeşitli düzenleyici işlemleriyle karşı karşıya kaldı.
Şirket, İrlanda DPC’si ve diğer Avrupalı veri koruma yetkililerinin baskısına maruz kaldıktan sonra Haziran ayında yapay zeka sistemini Avrupalı Instagram ve Facebook kullanıcılarından toplanan verilerle eğitme planlarını geçici olarak durdurmuştu. DPC, şirketin 106 ülkedeki tüketicilerin adları, telefon numaraları ve doğum tarihleri de dahil olmak üzere 533 milyon kullanıcıya ait verileri ifşa etmesi üzerine 2022 yılında Meta’ya 265 milyon avro para cezası verdi (bkz: Meta, GDPR İhlalleri Nedeniyle İrlanda Gizlilik Düzenleyicisi Tarafından Cezaya çarptırıldı).