İrlanda Veri Koruma Komisyonu (DPC), şirketin, kullanıcıların şifrelerini sistemlerinde yanlışlıkla düz metin olarak sakladığını açıkladığı Mart 2019’daki bir güvenlik açığıyla ilgili soruşturma kapsamında Meta’ya 91 milyon Euro (101,56 milyon $) para cezası verdi.
DPC tarafından önümüzdeki ay başlatılan soruşturma, sosyal medya devinin Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki dört farklı maddeyi ihlal ettiğini ortaya çıkardı.
Bu amaçla DPC, Meta’yı veri ihlalini derhal DPC’ye bildirmediği, kullanıcı şifrelerinin saklanmasına ilişkin kişisel veri ihlallerini düz metin olarak belgeleyemediği ve kullanıcıların şifrelerinin gizliliğini sağlamak için uygun teknik önlemleri kullanmadığı için suçladı.
Meta, başlangıçta gizlilik ihlalinin, kullanıcıların Facebook şifrelerinin bir alt kümesinin düz metin olarak açığa çıkmasına yol açtığını ortaya çıkardı, ancak buna uygunsuz bir şekilde erişildiğine veya dahili olarak kötüye kullanıldığına dair hiçbir kanıt bulunmadığını belirtti.
Krebs on Security’ye göre, bu şifrelerden bazılarının tarihi 2012 yılına kadar uzanıyor; kıdemli bir çalışan “yaklaşık 2.000 mühendis veya geliştiricinin düz metin kullanıcı şifreleri içeren veri öğeleri için yaklaşık dokuz milyon dahili sorgu yaptığını” belirtti.
Bir ay sonra şirket, milyonlarca Instagram şifresinin de benzer şekilde saklandığını ve etkilenen kullanıcıları bilgilendirdiğini kabul etti.
DPC komiser yardımcısı Graham Doyle bir basın açıklamasında, “Kişilerin bu tür verilere erişmesinden kaynaklanan kötüye kullanım riskleri göz önüne alındığında, kullanıcı şifrelerinin düz metin olarak saklanmaması gerektiği yaygın olarak kabul edilmektedir.” dedi.
“Bu davada ele alınan şifrelerin, kullanıcıların sosyal medya hesaplarına erişimini sağlayacağından özellikle hassas olduğu unutulmamalıdır.”
Associated Press ile paylaşılan bir açıklamada Meta, hatayı düzeltmek için “acil eylem” gerçekleştirdiğini ve “bu sorunu proaktif olarak DPC’ye işaretlediğini” söyledi.