Irlandia ukarała Meta grzywną w wysokości 91 mln euro za masowe naruszenie haseł

Meta, spółka dominująca Facebooka, została ukarana grzywną w wysokości 91 milionów euro przez irlandzką Komisję Ochrony Danych (DPC) za poważne naruszenie bezpieczeństwa haseł, które dotknęło 36 milionów użytkowników Facebooka i Instagrama w Europejskim Obszarze Gospodarczym (EOG).

Naruszenie bezpieczeństwa, odkryte na początku 2019 r., polegało na tym, że Meta nieumyślnie przechowywała hasła użytkowników w postaci zwykłego tekstu, narażając ich na poważne zagrożenia bezpieczeństwa.

Kara pieniężna świadczy o tym, że Meta nie wdrożyła odpowiednich środków bezpieczeństwa i zwlekała ze zgłoszeniem naruszenia organom regulacyjnym.

Meta ukarana wysoką grzywną za poważne zaniedbania w zakresie bezpieczeństwa

W kwietniu 2019 r. Meta powiadomiła irlandzki urząd ochrony danych (DPC), że „nieumyślnie zapisała niektóre hasła użytkowników mediów społecznościowych” w niezabezpieczonym, czytelnym formacie w swoich systemach wewnętrznych.

Odkrycie to skłoniło DPC do wszczęcia dochodzenia, które wykazało, że praktyki przechowywania danych przez Meta stwarzają poważne zagrożenie bezpieczeństwa użytkowników.

Hasła przechowywane w postaci zwykłego tekstu narażały miliony kont na potencjalne nadużycia ze strony nieupoważnionych osób, mogących uzyskać dostęp do poufnych informacji.

Śledztwo DPC wykazało, że naruszenie bezpieczeństwa dotknęło 36 milionów użytkowników w całym Europejskim Obszarze Gospodarczym (EOG), obejmującym UE, Islandię, Liechtenstein i Norwegię.

Chociaż firma Meta oświadczyła, że nie ma dowodów na to, że ktoś uzyskał dostęp do haseł lub je wykorzystał niewłaściwie, organ regulacyjny uznał działania firmy za niewystarczające w zakresie ochrony danych użytkowników i w odpowiedzi na naruszenie nałożył wysoką grzywnę.

Opóźnienie Meta zwiększa karę

Kolejnym istotnym czynnikiem mającym wpływ na decyzję DPC było opóźnienie w zgłoszeniu naruszenia przez Meta.

Chociaż firma odkryła problem w styczniu 2019 r., nie powiadomiła o tym organu regulacyjnego aż do marca tego samego roku, w wyniku czego dane osobowe milionów użytkowników pozostały nienaruszone przez wiele miesięcy i nie podjęto żadnych działań.

DPC szybko wskazał, że opóźnienie w zgłoszeniu incydentu stanowi naruszenie przepisów RODO, które wymagają, aby firmy powiadomiły właściwe organy w ciągu 72 godzin od wykrycia takiego incydentu.

Opóźnienie to tylko pogorszyło powagę naruszenia, ponieważ dało osobom szkodzącym cyberprzestępcom więcej czasu na potencjalne wykorzystanie luki.

DPC uznał, że sposób, w jaki Meta poradziła sobie z tą sytuacją, był niewystarczający, zauważając, że brak odpowiednich środków bezpieczeństwa ze strony giganta mediów społecznościowych bezpośrednio przyczynił się do ujawnienia danych.

Reakcja Meta i dalsze kroki

W swojej obronie Meta wyjaśniła, że problem z hasłem wystąpił z powodu błędu wewnętrznego i że został rozwiązany natychmiast po jego wykryciu.

Firma twierdzi, że błąd dotknął tylko ograniczonej liczby użytkowników i że po wykryciu problemu powiadomiła DPC.

Meta dodał, że nie ma dowodów sugerujących, iż hasła zostały kiedykolwiek wykorzystane w złośliwych celach.

Pomimo tych zapewnień DPC podkreśliło, że przechowywanie haseł w postaci jawnego tekstu stanowi poważne naruszenie podstawowych zasad cyberbezpieczeństwa.

Komisja podkreśliła, że najlepsze praktyki nakazują, aby poufne dane, w tym hasła, zawsze przechowywać w formie zaszyfrowanej, aby zapobiec niewłaściwemu wykorzystaniu w przypadku nieautoryzowanego dostępu.

Konsekwencje finansowe i reputacyjne dla Meta

Grzywna w wysokości 91 milionów euro stanowi poważną karę finansową dla Meta, ale szkody wizerunkowe mogą okazać się jeszcze bardziej kosztowne.

W obliczu coraz większej kontroli nad tym, jak giganci technologiczni przetwarzają dane osobowe, zwłaszcza w świetle przepisów RODO, incydent ten wydłuża listę wyzwań, z jakimi musi zmierzyć się Meta w UE.

Naruszenie bezpieczeństwa jest jaskrawym przypomnieniem, jak ważne są solidne środki bezpieczeństwa cybernetycznego, zwłaszcza jeśli chodzi o przetwarzanie poufnych informacji użytkowników.

Najnowsza grzywna jest kolejnym krokiem regulacyjnym podjętym przeciwko spółce Meta przez europejskie organy ścigania.

Biorąc pod uwagę ogromną bazę użytkowników i znaczące wpływy firmy, incydenty takie jak ten jeszcze bardziej potęgują obawy dotyczące sposobu, w jaki firma przetwarza dane osobowe powierzone jej przez miliony ludzi na całym świecie.

Wzmocniony nadzór regulacyjny

Decyzja DPC o nałożeniu znacznej grzywny na Meta wysyła jasny sygnał innym firmom działającym w UE: niedostosowanie się do standardów RODO będzie skutkowało poważnymi konsekwencjami.

Oprócz kary finansowej, sposób, w jaki Meta poradziła sobie z naruszeniem bezpieczeństwa, podkreśla potrzebę większego nadzoru regulacyjnego w branży technologicznej.

W obliczu coraz powszechniejszych cyberataków i naruszeń bezpieczeństwa danych organy regulacyjne na całym świecie wzmagają wysiłki mające na celu pociągnięcie firm do odpowiedzialności za niedociągnięcia w zakresie bezpieczeństwa i przejrzystości.

Dla Meta grzywna w wysokości 91 milionów euro może być dopiero początkiem, ponieważ firma nadal musi mierzyć się z kontrolą swoich praktyk w zakresie ochrony prywatności danych w wielu jurysdykcjach.