Irská Komise pro ochranu údajů (DPC) udělila společnosti Meta pokutu ve výši 91 milionů eur (přibližně 101,5 milionu dolarů) za nedostatečnou ochranu uživatelských hesel. Tato pokuta je reakcí na incident z roku 2019, kdy byly miliony hesel na Facebooku a Instagramu uloženy v prostém textu, což je činilo snadno přístupnými bez šifrování.
Meta čelí vysoké pokutě za unik citlivých dat
Podle DPC tento incident porušil několik ustanovení GDPR. Co je horší, Facebook o tomto úniku ani neinformoval své uživatele a nezavedl bezpečnostní opatření až do doby, kdy byl únik odhalen. Pokuta společnosti Meta zahrnuje porušení následujících článků GDPR:
- Článek 33(1) – Meta neoznámila DPC únik osobních údajů týkající se ukládání uživatelských hesel v prostém textu.
- Článek 33(5) – Meta nedokumentovala úniky osobních údajů týkající se ukládání uživatelských hesel v prostém textu.
- Článek 5(1)(f) – Meta nepoužila vhodná technická nebo organizační opatření k zajištění odpovídající bezpečnosti uživatelských hesel proti neoprávněnému zpracování.
- Článek 32(1) – Meta nezavedla vhodná technická a organizační opatření k zajištění úrovně bezpečnosti odpovídající riziku, včetně schopnosti zajistit trvalou důvěrnost uživatelských hesel.
Facebook, Zdroj: Grok
K incidentu došlo, když se hesla dostala do částí systémů společnosti Meta, které nebyly primárně určeny pro správu hesel, pravděpodobně v důsledku chybových protokolů nebo pádů systému. To znamenalo, že k těmto heslům mělo přístup více než 20 000 zaměstnanců společnosti. Hesla byla uložena v prostém textu od roku 2012 až do roku 2019, kdy rutinní bezpečnostní kontrola zjistila, že jsou uložena v čitelném formátu.
Graham Doyle, zástupce komisaře DPC, v tiskové zprávě uvedl: „Je všeobecně přijímáno, že uživatelská hesla by neměla být ukládána v prostém textu vzhledem k rizikům zneužití, která vznikají, když k takovým údajům mají přístup další osoby. Je třeba mít na paměti, že hesla, o nichž je v tomto případě řeč, jsou obzvláště citlivá, protože by umožňovala přístup k účtům uživatelů na sociálních sítích.“
Standardní postup společnosti Meta pro ukládání hesel zahrnuje hashovací techniku zvanou „scrypt“, která spočívá v převodu skutečného hesla na náhodný řetězec znaků, který nelze snadno převést zpět. Tato metoda chrání uživatelské účty tím, že zajišťuje, že i v případě přístupu k datům zůstanou původní hesla zabezpečena. Hesla se však přesto dostala do jiných systémů společnosti. Meta incident v roce 2019 uznala a uvedla, že neexistují důkazy o jakémkoli externím přístupu nebo zneužití těchto dat.
Zdroj: neowin.net