İrlanda, Meta'ya büyük şifre ihlali nedeniyle 91 milyon avro para cezası verdi

Facebook'un ana şirketi Meta, Avrupa Ekonomik Alanı'ndaki (AEA) 36 milyon Facebook ve Instagram kullanıcısını etkileyen ciddi bir parola güvenliği ihlali nedeniyle İrlanda Veri Koruma Komisyonu (DPC) tarafından 91 milyon avro para cezasına çarptırıldı.

2019'un başlarında keşfedilen güvenlik ihlali, Meta'nın kullanıcıların parolalarını istemeden düz metin olarak depolaması ve kullanıcıları önemli güvenlik risklerine maruz bırakmasından kaynaklanıyordu.

Para cezası, Meta'nın yeterli güvenlik önlemlerini uygulamadaki başarısızlığını ve ihlali düzenleyicilere bildirmedeki gecikmesini vurguluyor.

Meta, büyük güvenlik ihlalleri nedeniyle ağır para cezasına çarptırıldı

Meta, Nisan 2019'da İrlanda Veri Koruma Ofisi'ne, "sosyal medya kullanıcılarının belirli şifrelerini yanlışlıkla" iç sistemlerinde korumasız, okunabilir bir biçimde sakladığını bildirdi.

Bu keşif, Veri Koruma Komitesi'nin Meta'nın depolama uygulamalarının kullanıcılar için önemli bir güvenlik riski oluşturduğunu tespit eden bir soruşturmaya yol açtı.

Düz metin olarak saklanan parolalar, milyonlarca hesabı yetkisiz kişilerin hassas bilgilere erişmesi durumunda kötüye kullanma olasılığına karşı savunmasız bıraktı.

DPC'nin soruşturması, AB, İzlanda, Lihtenştayn ve Norveç'i kapsayan AEA genelinde 36 milyon kullanıcının ihlalden etkilendiğini ortaya koydu.

Meta, şifrelere erişildiğine veya bunların kötüye kullanıldığına dair bir kanıt olmadığını belirtmesine rağmen düzenleyici kurum, şirketin eylemlerini kullanıcıların verilerini korumada yetersiz buldu ve ihlale karşılık olarak yüklü bir para cezası verdi.

Meta'nın gecikmesi cezayı artırıyor

DPC'nin kararında bir diğer kritik etken ise Meta'nın ihlale ilişkin bildirimini gecikmeli olarak yapmasıydı.

Şirket sorunu 2019 yılının Ocak ayında keşfetmesine rağmen, düzenleyici kurumu o yılın Mart ayına kadar uyarmadı ve milyonlarca kullanıcının kişisel bilgileri aylarca herhangi bir işlem yapılmadan ifşa edildi.

Veri Koruma Komitesi, bildirimdeki gecikmenin, şirketlerin bu tür olayları tespit ettikten sonra 72 saat içinde yetkililere haber vermesini gerektiren GDPR düzenlemelerinin ihlali olduğunu hemen belirtti.

Bu gecikme, kötü niyetli kişilere güvenlik açığını istismar etmeleri için daha fazla zaman tanıdığı için, ihlalin ciddiyetini daha da artırdı.

DPC, Meta'nın durumu ele alış biçimini yetersiz olarak nitelendirerek, sosyal medya devinin uygun güvenlik önlemlerine sahip olmamasının doğrudan veri ifşasına katkıda bulunduğunu kaydetti.

Meta'nın tepkisi ve sonraki adımlar

Meta, savunmasında, şifre sorununun dahili bir hatadan kaynaklandığını, sorunun tespit edilmesinin ardından kısa sürede çözüldüğünü belirtti.

Şirket, hatanın yalnızca sınırlı sayıda kullanıcıyı etkilediğini ve sorun tespit edildikten sonra DPC'yi proaktif olarak bilgilendirdiklerini iddia ediyor.

Meta ayrıca şifrelere kötü amaçlı erişildiğine veya kullanıldığına dair herhangi bir kanıt bulunmadığını belirtti.

Veri Koruma Komitesi, bu güvencelere rağmen parolaların düz metin olarak saklanmasının temel siber güvenlik ilkelerinin ciddi şekilde ihlali olduğunu vurguladı.

Komisyon, en iyi uygulamaların, yetkisiz erişim durumunda kötüye kullanımı önlemek için şifreler de dahil olmak üzere hassas verilerin her zaman şifrelenmiş bir biçimde saklanması gerektiğini vurguladı.

Meta için finansal ve itibar etkileri

91 milyon avroluk para cezası Meta için önemli bir mali cezayı temsil ediyor, ancak itibar kaybı daha da maliyetli olabilir.

Teknoloji devlerinin, özellikle GDPR düzenlemeleri ışığında kişisel verileri nasıl işlediğine ilişkin incelemeler artarken, bu olay Meta'nın AB'de karşı karşıya olduğu büyüyen zorluklar listesine bir yenisini daha ekledi.

Bu ihlal, özellikle hassas kullanıcı bilgilerinin işlenmesi söz konusu olduğunda güçlü siber güvenlik önlemlerinin önemini açık bir şekilde hatırlatıyor.

Bu son ceza, Avrupa otoriteleri tarafından Meta'ya karşı alınan bir dizi düzenleyici eyleme ekleniyor.

Şirketin geniş kullanıcı tabanı ve önemli etkisi göz önüne alındığında, bu tür olaylar, dünya çapında milyonlarca insanın kendisine emanet ettiği kişisel verileri nasıl işlediği konusundaki endişeleri daha da artırıyor.

Güçlendirilmiş düzenleyici denetim

DPC'nin Meta'ya önemli bir para cezası verme kararı, AB'de faaliyet gösteren diğer şirketlere açık bir mesaj gönderiyor: GDPR standartlarına uyulmaması ciddi sonuçlara yol açacaktır.

Meta'nın ihlale ilişkin tutumu, mali cezanın yanı sıra teknoloji sektöründe düzenleyici denetimin artırılması ihtiyacını da vurguluyor.

Siber saldırılar ve veri ihlalleri giderek yaygınlaştıkça, dünya çapındaki düzenleyiciler, şirketleri güvenlik ve şeffaflıktaki eksikliklerden sorumlu tutmak için çabalarını artırıyor.

Meta için 91 milyon avroluk para cezası sadece bir başlangıç olabilir; zira şirket, birçok yargı alanında veri gizliliği uygulamaları nedeniyle incelemeye tabi tutulmaya devam ediyor.