Meta didenda €91 juta oleh Ireland kerana pelanggaran kata laluan besar-besaran

Meta, syarikat induk Facebook, telah didenda €91 juta oleh Suruhanjaya Perlindungan Data (DPC) Ireland kerana pelanggaran keselamatan kata laluan yang serius yang menjejaskan 36 juta pengguna Facebook dan Instagram di Kawasan Ekonomi Eropah (EEA).

Pelanggaran itu, yang ditemui pada awal 2019, melibatkan Meta secara tidak sengaja menyimpan kata laluan pengguna dalam teks biasa, mendedahkan mereka kepada risiko keselamatan yang ketara.

Denda itu menyerlahkan kegagalan Meta untuk melaksanakan langkah keselamatan yang mencukupi dan kelewatannya dalam melaporkan pelanggaran kepada pengawal selia.

Meta dipukul dengan denda yang besar atas kesilapan keselamatan yang besar

Pada April 2019, Meta memberitahu DPC Ireland bahawa ia telah "menyimpan kata laluan tertentu pengguna media sosial secara tidak sengaja" dalam format yang tidak dilindungi dan boleh dibaca pada sistem dalamannya.

Penemuan ini mendorong siasatan oleh DPC, yang mendapati bahawa amalan storan Meta menimbulkan risiko keselamatan yang ketara kepada pengguna.

Kata laluan, yang disimpan dalam teks biasa, menyebabkan berjuta-juta akaun terdedah kepada potensi penyalahgunaan oleh pihak yang tidak dibenarkan yang boleh mengakses maklumat sensitif tersebut.

Siasatan DPC mendedahkan bahawa 36 juta pengguna di seluruh EEA, termasuk EU, Iceland, Liechtenstein dan Norway, telah terjejas oleh pelanggaran tersebut.

Walaupun Meta menyatakan bahawa tiada bukti kata laluan telah diakses atau disalahgunakan, pengawal selia menganggap tindakan syarikat tidak mencukupi dalam melindungi data pengguna dan mengeluarkan denda yang besar sebagai tindak balas kepada pelanggaran tersebut.

Kelewatan Meta meningkatkan denda

Satu lagi faktor kritikal dalam keputusan DPC ialah laporan tertunda pelanggaran oleh Meta.

Walaupun syarikat itu menemui isu itu pada Januari 2019, ia gagal memaklumkan pengawal selia sehingga Mac tahun itu, menyebabkan berjuta-juta maklumat peribadi pengguna terdedah selama berbulan-bulan tanpa tindakan.

DPC dengan pantas menyatakan bahawa kelewatan dalam pelaporan adalah pelanggaran peraturan GDPR, yang memerlukan syarikat memaklumkan pihak berkuasa dalam masa 72 jam selepas mengenal pasti kejadian sedemikian.

Kelewatan ini hanya menambahkan lagi serius pelanggaran itu, kerana ia memberi pelakon yang berniat jahat lebih banyak masa untuk berpotensi mengeksploitasi kelemahan.

DPC menyebut pengendalian Meta terhadap situasi itu sebagai tidak mencukupi, dengan menyatakan bahawa kekurangan langkah keselamatan yang sesuai oleh gergasi media sosial itu secara langsung menyumbang kepada pendedahan data.

Reaksi Meta dan langkah seterusnya

Dalam pembelaannya, Meta menjelaskan bahawa isu kata laluan berlaku disebabkan ralat dalaman dan masalah itu diselesaikan segera selepas penemuannya.

Syarikat itu mendakwa bahawa ralat itu hanya menjejaskan bilangan pengguna yang terhad, dan ia secara proaktif memberitahu DPC sebaik sahaja isu itu dikenal pasti.

Meta seterusnya menyatakan bahawa tiada bukti yang menunjukkan kata laluan itu pernah diakses atau digunakan untuk tujuan jahat.

Walaupun jaminan ini, DPC menekankan bahawa menyimpan kata laluan dalam teks biasa adalah pelanggaran serius terhadap prinsip keselamatan siber asas.

Suruhanjaya itu menekankan bahawa amalan terbaik menentukan bahawa data sensitif, termasuk kata laluan, hendaklah sentiasa disimpan dalam format yang disulitkan untuk mengelakkan penyalahgunaan sekiranya berlaku akses tanpa kebenaran.

Implikasi kewangan dan reputasi untuk Meta

Denda €91 juta mewakili penalti kewangan yang ketara untuk Meta, tetapi kerosakan reputasi mungkin lebih mahal.

Dengan peningkatan penelitian tentang cara gergasi teknologi mengendalikan data peribadi, terutamanya berdasarkan peraturan GDPR, insiden itu menambah senarai cabaran yang semakin meningkat yang dihadapi Meta di EU.

Pelanggaran itu berfungsi sebagai peringatan yang jelas tentang kepentingan langkah keselamatan siber yang teguh, terutamanya apabila ia berkaitan dengan pengendalian maklumat pengguna yang sensitif.

Denda terbaharu ini menambah satu siri tindakan kawal selia yang diambil terhadap Meta oleh pihak berkuasa Eropah.

Dengan pangkalan pengguna syarikat yang luas dan pengaruh yang besar, insiden seperti ini mencetuskan lagi kebimbangan mengenai cara ia mengendalikan data peribadi yang diamanahkan kepadanya oleh berjuta-juta orang di seluruh dunia.

Pengawasan kawal selia diperkukuh

Keputusan DPC untuk mengenakan denda yang ketara ke atas Meta menghantar mesej yang jelas kepada syarikat lain yang beroperasi di EU: kegagalan untuk mematuhi piawaian GDPR akan mengakibatkan akibat yang serius.

Sebagai tambahan kepada penalti kewangan, pengendalian pelanggaran Meta menggariskan keperluan untuk pengawasan kawal selia yang dipertingkatkan dalam industri teknologi.

Apabila serangan siber dan pelanggaran data menjadi semakin biasa, pengawal selia di seluruh dunia meningkatkan usaha untuk memastikan syarikat bertanggungjawab atas kesilapan keselamatan dan ketelusan.

Bagi Meta, denda €91 juta mungkin hanya permulaan, kerana syarikat itu terus menghadapi penelitian terhadap amalan privasi datanya merentas pelbagai bidang kuasa.