Meta fikk 91 millioner euro i bot av Irland for massivt passordbrudd

Meta, morselskapet til Facebook, har blitt bøtelagt 91 millioner euro av Irlands databeskyttelseskommisjon (DPC) for et alvorlig brudd på passordsikkerheten som rammet 36 millioner Facebook- og Instagram-brukere i det europeiske økonomiske samarbeidsområdet (EØS).

Bruddet, oppdaget tidlig i 2019, innebar at Meta utilsiktet lagret brukernes passord i ren tekst, og utsatte dem for betydelig sikkerhetsrisiko.

Boten fremhever Metas unnlatelse av å implementere tilstrekkelige sikkerhetstiltak og forsinkelsen i rapporteringen av bruddet til regulatorer.

Meta rammet med heftig bot over store sikkerhetsbrudd

I april 2019 varslet Meta den irske DPC om at den "utilsiktet hadde lagret visse passord til brukere av sosiale medier" i et ubeskyttet, lesbart format på sine interne systemer.

Denne oppdagelsen førte til en forespørsel fra DPC, som fant at Metas lagringspraksis utgjorde en betydelig sikkerhetsrisiko for brukerne.

Passordene, lagret i ren tekst, gjorde millioner av kontoer sårbare for potensielt misbruk av uautoriserte parter som kunne få tilgang til den sensitive informasjonen.

DPCs undersøkelse avdekket at 36 millioner brukere over hele EØS, som inkluderer EU, Island, Liechtenstein og Norge, ble berørt av bruddet.

Selv om Meta uttalte at det ikke var bevis for at passordene hadde blitt åpnet eller misbrukt, anså regulatoren selskapets handlinger som utilstrekkelige for å beskytte brukernes data og utstedte en høy bot som svar på bruddet.

Metas forsinkelse eskalerer boten

En annen kritisk faktor i DPCs avgjørelse var den forsinkede rapporteringen av bruddet fra Meta.

Selv om selskapet oppdaget problemet i januar 2019, klarte det ikke å varsle regulatoren før i mars samme år, og etterlot millioner av brukeres personlige opplysninger eksponert i flere måneder uten handling.

DPC var raskt med å påpeke at forsinkelsen i rapporteringen var et brudd på GDPR-regelverket, som pålegger selskaper å varsle myndighetene innen 72 timer etter identifisering av slike hendelser.

Denne forsinkelsen forsterket bare alvorligheten av bruddet, da det ga ondsinnede aktører mer tid til å potensielt utnytte sårbarheten.

DPC siterte Metas håndtering av situasjonen som utilstrekkelig, og bemerket at sosiale mediegigantens mangel på passende sikkerhetstiltak direkte bidro til dataeksponeringen.

Metas reaksjon og neste trinn

Til sitt forsvar forklarte Meta at passordproblemet oppsto på grunn av en intern feil, og at problemet ble løst umiddelbart etter oppdagelsen.

Selskapet hevder at feilen bare påvirket et begrenset antall brukere, og det varslet proaktivt DPC når problemet ble identifisert.

Meta uttalte videre at det ikke var noen bevis som tyder på at passordene noen gang ble åpnet eller brukt til ondsinnede formål.

Til tross for disse forsikringene, understreket DPC at lagring av passord i klartekst er et alvorlig brudd på grunnleggende cybersikkerhetsprinsipper.

Kommisjonen fremhevet at beste praksis tilsier at sensitive data, inkludert passord, alltid skal lagres i et kryptert format for å forhindre misbruk i tilfelle uautorisert tilgang.

Økonomiske og omdømmemessige implikasjoner for Meta

Boten på 91 millioner euro representerer en betydelig økonomisk straff for Meta, men skaden på omdømmet kan bli enda mer kostbar.

Med økende gransking av hvordan teknologigiganter håndterer personopplysninger, spesielt i lys av GDPR-forskrifter, legger hendelsen til den økende listen over utfordringer Meta står overfor i EU.

Bruddet fungerer som en sterk påminnelse om viktigheten av robuste cybersikkerhetstiltak, spesielt når det gjelder håndtering av sensitiv brukerinformasjon.

Denne siste boten legger til en rekke regulatoriske tiltak mot Meta av europeiske myndigheter.

Med selskapets enorme brukerbase og betydelige innflytelse gir hendelser som disse ytterligere bekymring for hvordan det håndterer personopplysningene som er betrodd det av millioner av mennesker over hele verden.

Styrket regulatorisk tilsyn

DPCs beslutning om å ilegge Meta en betydelig bot sender en klar melding til andre selskaper som opererer i EU: unnlatelse av å overholde GDPR-standarder vil resultere i alvorlige konsekvenser.

I tillegg til den økonomiske straffen, understreker Metas håndtering av bruddet behovet for økt regulatorisk tilsyn i teknologibransjen.

Etter hvert som nettangrep og datainnbrudd blir stadig mer vanlig, øker regulatorer over hele verden innsatsen for å holde selskaper ansvarlige for feil i sikkerhet og åpenhet.

For Meta kan boten på € 91 millioner være bare begynnelsen, ettersom selskapet fortsetter å bli undersøkt over sine datavernpraksis på tvers av flere jurisdiksjoner.