Când vine vorba de confidențialitate pe o platformă de rețele sociale, protecția datelor utilizatorilor este cel mai important lucru, iar în cadrul acesteia, protecția informațiilor de conectare nu ar trebui neglijată. Defapt meta funcționa în acest fel prin practici decadente, iar acest lucru a fost dezvăluit în 2019, dar pedeapsa pentru această infracțiune gravă, abia acum a fost impusă de autoritățile de reglementare.
După cinci ani de proceduri, Meta a fost obligată să plătească o amendă de 91 de milioane de euro de către Comisia Irlandeză pentru protecția datelor.
Krebs on Security a raportat pentru prima dată în 2019, că în timpul unui audit de securitate la Meta, experții au descoperit că societatea stoca cantități mari de parole utilizator în format text simplu, fără criptare. În plus, datele stocate erau accesate de un număr mare de angajați interni. Acesta era un risc de securitate uriaș, cu consecințe potențial imprevizibile.
Companiile sunt obligate să stocheze parolele în formă criptată, de mult timp, în conformitate cu reglementări stricte. Iar Facebook, a făcut o greșeală foarte gravă în acest sens. Conform analizelor anterioare, numărul de utilizatori ale căror date de conectare au fost liber accesibile experților companiei a fost estimat între 200 și 600 milioane.
S-a descoperit că aproximativ 20.000 de angajați aveau acces la fișiere cu parole necriptate. Și, deși nu există dovezi că a avut loc o utilizare abuzivă a datelor sensibile, se presupune că până la 2 000 de angajați au putut accesa parolele.
Cazul s-ar fi întins până în 2012, parolele fiind disponibile în text simplu timp de șapte ani. După descoperirea deficienței, Meta a luat măsurile necesare, iar datele de conectare ale utilizatorilor Facebook sunt acum tratate în mod corespunzător. Cel puțin, vulnerabilitatea anterioară a fost rezolvată.
Irlandezii urmăreau cazul în temeiul GDPR, care se aplică în general în Uniunea Europeană. Astfel, s-a constatat că Meta nu a făcut tot posibilul pentru a proteja datele, nu s-a asigurat că parolele erau criptate conform cerințelor. În plus, nu se efectuau controale tehnice și organizaționale periodice, în conformitate cu nivelul de risc. În plus, filiala europeană a Meta nu a notificat autoritatea de protecție a datelor în urma descoperirii unori probleme de securitate. Și nu a documentat în mod corespunzător tratarea problemei după descoperirea acesteia.
Nivelul sancțiunii a fost stabilit în conformitate cu GDPR. Motivul pentru care amenda nu este mai mare, este că societatea a cooperat cu autoritățile, și a încercat să remedieze problemele identificate cât mai curând posibil. În plus, Comisia irlandeză pentru protecția datelor a considera drept circumstanță atenuantă, faptul că nu a fost găsit nici un indiciu că cineva ar fi abuzat de date.
