Meta fik 91 millioner euro i bøde af Irland for massivt brud på adgangskoden

Meta, Facebooks moderselskab, er blevet idømt en bøde på 91 millioner euro af Irlands databeskyttelseskommission (DPC) for et alvorligt brud på adgangskodesikkerheden, der ramte 36 millioner Facebook- og Instagram-brugere i Det Europæiske Økonomiske Samarbejdsområde (EØS).

Bruddet, der blev opdaget i begyndelsen af 2019, involverede, at Meta utilsigtet opbevarede brugernes adgangskoder i almindelig tekst, hvilket udsatte dem for betydelige sikkerhedsrisici.

Bøden fremhæver Metas manglende gennemførelse af passende sikkerhedsforanstaltninger og dens forsinkelse med at rapportere bruddet til regulatorer.

Meta ramte med klækkelig bøde over større sikkerhedsbrud

I april 2019 meddelte Meta det irske DPC, at det "utilsigtet havde gemt visse adgangskoder for sociale medier-brugere" i et ubeskyttet, læsbart format på sine interne systemer.

Denne opdagelse foranledigede en forespørgsel fra DPC, som fandt, at Metas lagringspraksis udgjorde en betydelig sikkerhedsrisiko for brugerne.

Adgangskoderne, gemt i almindelig tekst, efterlod millioner af konti sårbare over for potentielt misbrug af uautoriserede parter, der kunne få adgang til de følsomme oplysninger.

DPC's undersøgelse afslørede, at 36 millioner brugere i hele EØS, som omfatter EU, Island, Liechtenstein og Norge, var berørt af bruddet.

Selvom Meta udtalte, at der ikke var nogen beviser for, at adgangskoden var blevet tilgået eller misbrugt, anså regulatoren virksomhedens handlinger for utilstrækkelige til at beskytte brugernes data og udstedte en stor bøde som svar på overtrædelsen.

Metas forsinkelse eskalerer bøden

En anden kritisk faktor i DPC's beslutning var Metas forsinkede rapportering af bruddet.

Selvom virksomheden opdagede problemet i januar 2019, undlod det at advare regulatoren indtil marts samme år, hvilket efterlod millioner af brugeres personlige oplysninger blotlagt i flere måneder uden handling.

DPC var hurtig til at påpege, at forsinkelsen i rapporteringen var et brud på GDPR-reglerne, som kræver, at virksomheder underretter myndighederne inden for 72 timer efter at have identificeret sådanne hændelser.

Denne forsinkelse forværrede kun alvoren af bruddet, da det gav ondsindede aktører mere tid til potentielt at udnytte sårbarheden.

DPC nævnte Metas håndtering af situationen som utilstrækkelig og bemærkede, at den sociale mediegigants mangel på passende sikkerhedsforanstaltninger direkte bidrog til dataeksponeringen.

Metas reaktion og næste skridt

Til sit forsvar forklarede Meta, at adgangskodeproblemet opstod på grund af en intern fejl, og at problemet blev løst straks efter dets opdagelse.

Virksomheden hævder, at fejlen kun påvirkede et begrænset antal brugere, og det underrettede proaktivt DPC, når problemet blev identificeret.

Meta udtalte endvidere, at der ikke var beviser, der tyder på, at adgangskoderne nogensinde blev tilgået eller brugt til ondsindede formål.

På trods af disse forsikringer understregede DPC, at lagring af adgangskoder i klartekst er en alvorlig krænkelse af grundlæggende cybersikkerhedsprincipper.

Kommissionen fremhævede, at bedste praksis dikterer, at følsomme data, herunder adgangskoder, altid skal opbevares i et krypteret format for at forhindre misbrug i tilfælde af uautoriseret adgang.

Økonomiske og omdømmemæssige konsekvenser for Meta

Bøden på 91 millioner euro repræsenterer en betydelig økonomisk straf for Meta, men skaden på omdømmet kan blive endnu dyrere.

Med stigende undersøgelse af, hvordan teknologigiganter håndterer personlige data, især i lyset af GDPR-reglerne, føjer hændelsen sig til den voksende liste over udfordringer, som Meta står over for i EU.

Bruddet tjener som en skarp påmindelse om vigtigheden af robuste cybersikkerhedsforanstaltninger, især når det kommer til håndtering af følsomme brugeroplysninger.

Denne seneste bøde føjer sig til en række regulatoriske handlinger, som europæiske myndigheder har truffet mod Meta.

Med virksomhedens enorme brugerbase og betydelige indflydelse giver hændelser som disse yderligere anledning til bekymringer over, hvordan den håndterer de personlige data, som er betroet til den af millioner af mennesker verden over.

Styrket regulatorisk tilsyn

DPC's beslutning om at pålægge Meta en betydelig bøde sender en klar besked til andre virksomheder, der opererer i EU: manglende overholdelse af GDPR-standarderne vil resultere i alvorlige konsekvenser.

Ud over den økonomiske straf understreger Metas håndtering af bruddet behovet for øget regulatorisk tilsyn i tech-industrien.

Efterhånden som cyberangreb og databrud bliver mere og mere almindelige, intensiverer regulatorer over hele verden indsatsen for at holde virksomheder ansvarlige for fejl i sikkerhed og gennemsigtighed.

For Meta kunne bøden på 91 millioner euro kun være begyndelsen, da virksomheden fortsat står over for granskning af sin praksis for databeskyttelse på tværs af flere jurisdiktioner.