Meta, yüz milyonlarca kullanıcı şifresini kendi iç sistemlerinde düz metin olarak sakladığı için İrlanda Veri Koruma Komisyonu (DPC) tarafından 91 milyon Euro (101 milyon $) para cezasına çarptırıldı.
İlk olarak 2019 yılında Meta tarafından keşfedilen ve duyurulan bu güvenlik açığı, AB’nin önde gelen gizlilik otoritesi tarafından yürütülen beş yıllık bir soruşturmanın ardından ciddi sonuçlara yol açtı.
Sorun, Meta’nın ve ardından Facebook’un, kullanıcı şifrelerini yanlışlıkla uygun şifreleme olmadan sakladığını ortaya çıkarmasıyla ortaya çıktı.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Şirket, şifrelerin yalnızca şirket içinde açığa çıktığını ve herhangi bir kötüye kullanım belirtisi göstermediğini vurgularken, DPC bu uygulamanın AB’nin Genel Veri Koruma Düzenlemelerini (GDPR) ihlal ettiğini tespit etti.
DPC’nin Bulguları ve Eylemleri
DPC’nin soruşturması, Meta’nın aşağıdakiler de dahil olmak üzere çeşitli GDPR ihlallerini ortaya çıkardı:
- Kişisel veri ihlallerinin DPC’ye bildirilmemesi
- Kullanıcı şifrelerini korumaya yönelik teknik önlemlerin yetersiz uygulanması
DPC, bunun sonucunda Meta’ya hem önemli miktarda para cezası hem de kınama cezası verdi.
Tipik olarak çevrimiçi hizmetler, karma ve tuzlama gibi endüstri standardı şifreleme tekniklerini kullanarak kullanıcı şifrelerini korur. Meta normalde bu uygulamalara bağlı kalıyor ve bu da çok sayıda Facebook ve Instagram kullanıcı şifresinin neden korumasız bırakıldığını belirsiz hale getiriyor.
Komiser Yardımcısı Graham Doyle, konunun hassasiyetine vurgu yaparak, “Bu durumda ele alınan şifrelerin, kullanıcıların sosyal medya hesaplarına erişimini sağlayacak olması nedeniyle özellikle hassas olduğunu unutmamak gerekir” dedi.
Parolaların düz metin olarak saklanması, verilerin tehlikeye atılması durumunda kullanıcı hesaplarına yetkisiz erişime izin verebilecek önemli riskler oluşturur.
Meta, Facebook kullanıcılarının şifrelerinin bir “alt kümesinin” “geçici olarak okunabilir bir biçimde oturum açıldığını” belirterek hatayı kabul etti. Şirket, sorunu düzeltmek için derhal harekete geçtiğini ve durumu proaktif olarak İrlanda Veri Koruma Komisyonu’na bildirdiğini iddia ediyor.
Bu para cezası, AB düzenleyicileri tarafından Meta’ya uygulanan bir dizi cezanın sonuncusu. Önceki para cezaları şunları içerir:
- Instagram’ın gençlere ait verileri yanlış kullanması nedeniyle 405 milyon Euro
- WhatsApp’a 5,5 milyon euro ceza
- Transatlantik veri aktarımları nedeniyle 1,2 milyar Euro para cezası
Bu tekrarlanan ihlaller, Meta’nın AB veri koruma düzenlemelerine uyum sağlama ve kullanıcı gizliliğini ve güvenliğini koruma konusunda karşılaştığı devam eden zorlukları vurgulamaktadır.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin