Meta krijgt boete van €91 miljoen van Ierland voor grootschalige wachtwoordinbreuk

Meta, het moederbedrijf van Facebook, heeft van de Ierse Commissie voor gegevensbescherming (DPC) een boete van € 91 miljoen gekregen vanwege een ernstige inbreuk op de wachtwoordbeveiliging. Deze inbreuk trof 36 miljoen Facebook- en Instagram-gebruikers in de Europese Economische Ruimte (EER).

Het lek werd begin 2019 ontdekt en betrof het feit dat Meta onbedoeld de wachtwoorden van gebruikers in platte tekst opsloeg, waardoor ze werden blootgesteld aan aanzienlijke beveiligingsrisico's.

De boete benadrukt dat Meta geen adequate veiligheidsmaatregelen heeft geïmplementeerd en dat het te laat is met het melden van de inbreuk aan toezichthouders.

Meta krijgt flinke boete voor ernstige beveiligingslekken

In april 2019 meldde Meta aan de Ierse DPC dat het "per ongeluk bepaalde wachtwoorden van gebruikers van sociale media" in een onbeschermd, leesbaar formaat op zijn interne systemen had opgeslagen.

Deze ontdekking vormde de aanleiding voor een onderzoek door de DPC, die concludeerde dat de opslagpraktijken van Meta een aanzienlijk veiligheidsrisico voor gebruikers vormden.

De wachtwoorden, opgeslagen in platte tekst, maakten miljoenen accounts kwetsbaar voor misbruik door onbevoegden die toegang konden krijgen tot de gevoelige informatie.

Uit het onderzoek van de DPC bleek dat 36 miljoen gebruikers in de EER, waaronder de EU, IJsland, Liechtenstein en Noorwegen, door het lek werden getroffen.

Hoewel Meta aangaf dat er geen bewijs was dat de wachtwoorden waren gehackt of misbruikt, oordeelde de toezichthouder dat de maatregelen van het bedrijf onvoldoende waren om de gegevens van gebruikers te beschermen en legde het bedrijf een forse boete op als reactie op de overtreding.

Meta's vertraging verhoogt de boete

Een andere belangrijke factor in de beslissing van de DPC was de late melding van de inbreuk door Meta.

Hoewel het bedrijf het probleem in januari 2019 ontdekte, waarschuwde het de toezichthouder pas in maart van dat jaar. Hierdoor lag de persoonlijke informatie van miljoenen gebruikers maandenlang bloot zonder dat er actie werd ondernomen.

De DPC wees er snel op dat de vertraging in de rapportage een schending van de AVG-regelgeving vormde. Deze regelgeving vereist dat bedrijven de autoriteiten binnen 72 uur na het vaststellen van dergelijke incidenten op de hoogte stellen.

Deze vertraging verergerde de inbreuk alleen maar, omdat kwaadwillenden hierdoor meer tijd kregen om de kwetsbaarheid te misbruiken.

De DPC noemde de manier waarop Meta met de situatie is omgegaan ontoereikend. Volgens de DPC heeft het gebrek aan passende beveiligingsmaatregelen van de socialemediagigant rechtstreeks bijgedragen aan de lekken van de gegevens.

Meta's reactie en volgende stappen

Ter verdediging gaf Meta aan dat het wachtwoordprobleem het gevolg was van een interne fout en dat het probleem direct na ontdekking werd opgelost.

Het bedrijf beweert dat de fout slechts een beperkt aantal gebruikers trof en dat het de DPC proactief op de hoogte heeft gesteld zodra het probleem werd geïdentificeerd.

Meta stelde verder dat er geen bewijs was dat de wachtwoorden ooit voor kwaadaardige doeleinden waren gebruikt.

Ondanks deze garanties benadrukte de DPC dat het opslaan van wachtwoorden in platte tekst een ernstige schending is van fundamentele cyberbeveiligingsbeginselen.

De commissie benadrukte dat volgens de beste praktijken gevoelige gegevens, waaronder wachtwoorden, altijd in een gecodeerde vorm moeten worden opgeslagen om misbruik in geval van ongeautoriseerde toegang te voorkomen.

Financiële en reputatie-implicaties voor Meta

De boete van €91 miljoen is voor Meta een flinke financiële strop, maar de reputatieschade kan nog veel groter zijn.

Nu er steeds meer aandacht is voor de manier waarop techgiganten omgaan met persoonsgegevens, vooral in het licht van de AVG-regelgeving, is het incident een van de steeds grotere uitdagingen waar Meta in de EU mee te maken krijgt.

Het lek laat nog maar eens zien hoe belangrijk robuuste cyberbeveiligingsmaatregelen zijn, vooral als het gaat om de verwerking van gevoelige gebruikersinformatie.

Deze boete is een vervolg op een reeks regelgevende maatregelen die de Europese autoriteiten tegen Meta hebben genomen.

Gezien de enorme gebruikersbasis en de grote invloed van het bedrijf, voeden incidenten als deze de zorgen over de manier waarop het bedrijf omgaat met de persoonlijke gegevens die miljoenen mensen wereldwijd aan het bedrijf toevertrouwen.

Versterkt toezicht door de toezichthouder

Het besluit van de DPC om Meta een hoge boete op te leggen, is een duidelijk signaal aan andere bedrijven die in de EU actief zijn: het niet naleven van de AVG-normen zal ernstige gevolgen hebben.

Naast de financiële boete onderstreept de manier waarop Meta de inbreuk heeft aangepakt de noodzaak van strenger toezicht door de toezichthouders in de techsector.

Omdat cyberaanvallen en datalekken steeds vaker voorkomen, intensiveren toezichthouders over de hele wereld hun inspanningen om bedrijven aansprakelijk te stellen voor tekortkomingen op het gebied van beveiliging en transparantie.

Voor Meta is de boete van € 91 miljoen mogelijk nog maar het begin, aangezien het bedrijf in meerdere rechtsgebieden nog steeds onder vuur ligt vanwege zijn praktijken op het gebied van gegevensprivacy.