Η Επιτροπή Προστασίας Δεδομένων (DPC) στην Ιρλανδία επέβαλε πρόστιμο 91 εκατομμυρίων ευρώ στην Meta Platforms Ireland Limited (MPIL) για αποθήκευση κωδικών πρόσβασης χρηστών σε απλό κείμενο (χωρίς κρυπτογράφηση).
Αυτό συνέβη πριν πέντε χρόνια, το 2019. Τότε, η Meta αποκάλυψε δημόσια ότι είχε αποθηκεύσει, κατά λάθος, ορισμένους κωδικούς πρόσβασης χρηστών σε “απλό κείμενο” στα εσωτερικά της συστήματα. Ειδοποίησε την DPC, η οποία ξεκίνησε έρευνα για τις πρακτικές αποθήκευσης ευαίσθητων δεδομένων χρηστών.
Η Meta είχε πει ότι βρήκε “ορισμένους κωδικούς πρόσβασης” αποθηκευμένους σε αναγνώσιμη μορφή, κατά τη διάρκεια μιας αναθεώρησης ασφαλείας στις αρχές του έτους.
Δείτε επίσης: ΕΕ: Πρόστιμο στη Meta για πρακτικές σχετικά με τις διαφημίσεις;
Ecovacs hacked: Σκούπες ρομπότ κυνηγούσαν κατοικίδια
We, Robot event: Αποκάλυψη Cybercab robotaxi & Tesla Robovan
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Η εταιρεία δεν είχε αναφέρει τον αριθμό των χρηστών που επηρεάστηκαν από αυτό το περιστατικό, αλλά είχε υπολογίσει ότι θα έπρεπε να ειδοποιήσει “εκατοντάδες εκατομμύρια χρήστες του Facebook Lite, δεκάδες εκατομμύρια άλλους χρήστες του Facebook” και εκατομμύρια χρήστες του Instagram.
Αξίζει να σημειωθεί ότι οι κωδικοί πρόσβασης ήταν διαθέσιμοι σε εξωτερικά μέρη, αλλά δεν βρέθηκαν στοιχεία κατάχρησης ή ακατάλληλης πρόσβασης.
Η αποθήκευση κωδικών πρόσβασης λογαριασμών χωρίς κατάλληλες προστασίες, όπως κρυπτογράφηση και έλεγχος πρόσβασης, αποτελεί παραβίαση του GDPR:
Άρθρο 33 παράγραφος 1 – Ειδοποίηση παραβίασης προσωπικών δεδομένων: Η Meta απέτυχε να ειδοποιήσει εγκαίρως την DPC για την αποθήκευση των κωδικών πρόσβασης σε απλό κείμενο, το οποίο συνιστά παραβίαση.
Άρθρο 33 παράγραφος 5 – Τεκμηρίωση παραβίασης προσωπικών δεδομένων: Η Meta δεν τεκμηρίωσε σωστά τις παραβιάσεις προσωπικών δεδομένων που σχετίζονται με την αποθήκευση κωδικών πρόσβασης χρήστη σε απλό κείμενο, παραλείποντας να διατηρήσει επαρκή αρχεία για το περιστατικό.
Άρθρο 5 παράγραφος 1 (f) – Ακεραιότητα και εμπιστευτικότητα: Η Meta δεν εφάρμοσε επαρκή μέτρα ασφαλείας για να διασφαλίσει την προστασία των κωδικών πρόσβασης των χρηστών.
Άρθρο 32 παράγραφος 1 – Ασφάλεια επεξεργασίας: Η Meta απέτυχε να εφαρμόσει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την προστασία των κωδικών πρόσβασης (όπως η κρυπτογράφηση), τα οποία θα μείωναν τον κίνδυνο μη εξουσιοδοτημένης πρόσβασης.
H ιρλανδική αρχή προστασίας δεδομένων αποφάσισε ότι για τις παραπάνω παραβάσεις, αλλά και λαμβάνοντας υπόψη ότι η Meta ενημέρωσε οικειοθελώς την DPC, θα πρέπει να γίνει επίσημη επίπληξη και να επιβληθεί διοικητικό πρόστιμο 91 εκατομμυρίων ευρώ.
Δείτε επίσης: Η TD Bank έλαβε πρόστιμο για κοινή χρήση ανακριβών δεδομένων πελατών
Η DPC θα δημοσιεύσει σε μεταγενέστερη ημερομηνία την πλήρη απόφασή της και τις πληροφορίες σχετικά με το περιστατικό.
Αυτή η παραβίαση υπογραμμίζει την κρίσιμη σημασία των ισχυρών πρακτικών προστασίας δεδομένων για εταιρείες που χειρίζονται ευαίσθητες πληροφορίες χρηστών. Η αποθήκευση κωδικών πρόσβασης σε απλό κείμενο είναι ένα σημαντικό ελάττωμα ασφαλείας, καθώς εκθέτει τους χρήστες σε πιθανές παραβιάσεις δεδομένων και μη εξουσιοδοτημένη πρόσβαση. Το πρόστιμο της DPC χρησιμεύει ως αυστηρή υπενθύμιση σε όλους τους οργανισμούς σχετικά με την αναγκαιότητα εφαρμογής αυστηρών μέτρων ασφαλείας, όπως η κρυπτογράφηση κωδικών πρόσβασης και ο τακτικός έλεγχος πρωτοκόλλων ασφαλείας, για την προστασία των δεδομένων των χρηστών. Επιπλέον, οι εταιρείες πρέπει να παραμείνουν σε επαγρύπνηση και να συμμορφώνονται με τους κανονισμούς προστασίας δεδομένων για να διατηρήσουν την εμπιστοσύνη των χρηστών και να αποφύγουν πιθανές κυρώσεις.
Δείτε επίσης: Clearview AI: Πρόστιμο από την Ολλανδία για παραβίαση του GDPR
Καθώς η τεχνολογία συνεχίζει να προοδεύει και παράγονται περισσότερα δεδομένα, η ανάγκη για ισχυρές πρακτικές προστασίας γίνεται ακόμη πιο κρίσιμη. Οι συνέπειες μιας παραβίασης δεδομένων μπορεί να είναι καταστροφικές, όχι μόνο για τους χρήστες αλλά και για τη φήμη και την οικονομική σταθερότητα της εταιρείας. Οι οργανισμοί πρέπει να επενδύουν σε ισχυρά μέτρα ασφαλείας και να ενημερώνουν συνεχώς τις διαδικασίες τους ώστε να προσαρμόζονται στις συνεχώς εξελισσόμενες απειλές.
Πηγή: www.bleepingcomputer.com