Meta mit 91 Millionen Euro für die Speicherung von Facebook- und Instagram-Passwörtern im Klartext bestraft

Die irische Datenschutzkommission (DPC) hat Meta Platforms Ireland Limited (MPIL) mit 91 Millionen Euro (100 Millionen Dollar) bestraft, weil das Unternehmen versehentlich Hunderte Millionen Benutzerpasswörter intern im Klartext gespeichert hat.

Außerdem hat die Kommission dem Unternehmen eine Rüge erteilt.

Im März 2019 informierte Meta die DPC darüber, dass es bestimmte Facebook-Benutzerpasswörter im Klartext auf seinen internen Systemen falsch gespeichert hatte, d.h. ohne kryptografischen Schutz oder Verschlüsselung. Das Unternehmen erkannte den Vorfall damals auch öffentlich an.

„Im Rahmen einer routinemäßigen Sicherheitsüberprüfung im Januar haben wir festgestellt, dass einige Benutzerpasswörter in einem lesbaren Format in unseren internen Datenspeichersystemen gespeichert wurden. Dies fiel uns auf, da unsere Anmeldesysteme so konzipiert sind, dass sie Passwörter mit Techniken maskieren, die sie unlesbar machen“, teilte Meta in einer Pressemitteilung im März 2019 mit.

Obwohl das Unternehmen nicht bekannt gab, wie viele Benutzer von dem Problem betroffen waren, schätzte es, dass es „Hunderte Millionen Facebook Lite-Benutzer, zig Millionen andere Facebook-Benutzer“ und „Millionen Instagram-Benutzer“ benachrichtigen würde.

Damals sagte Meta, dass sie keine Hinweise darauf gefunden hätten, dass die Passwörter externen Parteien zur Verfügung gestellt oder intern missbraucht oder unsachgemäß zugegriffen wurden.

Nach der Offenlegung des Vorfalls durch Meta untersuchte die DPC im April 2019 die Passwortspeicherpraktiken des Unternehmens, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) durch MPIL zu bewerten.

Insbesondere hatte der Technologieriese vier verschiedene Artikel der DSGVO verletzt, darunter die Nichterstattung an die DPC über die Verletzungen personenbezogener Daten, die Dokumentation von Verletzungen personenbezogener Daten in Bezug auf die Speicherung von Benutzerpasswörtern im Klartext, die Nichtergreifung geeigneter technischer oder organisatorischer Maßnahmen zum Schutz der Passwortdaten der Benutzer vor unbefugter Verarbeitung und die Nutzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit der Benutzerpasswörter.

„Es ist allgemein anerkannt, dass Benutzerpasswörter nicht im ‘Klartext’ gespeichert werden sollten, angesichts der Missbrauchsrisiken, die sich aus dem Zugriff auf solche Daten ergeben. Es muss bedacht werden, dass die Passwörter, die in diesem Fall betrachtet werden, besonders sensibel sind, da sie den Zugriff auf die Social-Media-Konten der Benutzer ermöglichen“, sagte Graham Doyle, stellvertretender Kommissar der DPC, in einer Erklärung.

Die DPC sagte auch in einer Pressemitteilung: „Die DSGVO verlangt von den Datenverantwortlichen, angemessene Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten zu implementieren, wobei Faktoren wie die Risiken für die Nutzenden und die Art der Datenverarbeitung zu berücksichtigen sind. Um die Sicherheit aufrechtzuerhalten, sollten die Datenverantwortlichen die Risiken, die mit der Verarbeitung verbunden sind, bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen.“

Als Reaktion auf die oben genannten Verstöße gegen die DSGVO hat die DPC eine Geldstrafe von 91 Millionen Euro (100 Millionen Dollar) gegen Meta verhängt und eine Rüge gemäß Artikel 58(2)(b) DSGVO ausgesprochen. Die Behörde wird die vollständigen Informationen und weitere Informationen zu dem Vorfall zu gegebener Zeit veröffentlichen.

Als Reaktion auf die Geldstrafe der DPC erklärte Meta in einer Erklärung, die der Associated Press mitgeteilt wurde: „Wir haben sofortige Maßnahmen ergriffen, um diesen Fehler zu beheben, und es gibt keine Hinweise darauf, dass diese Passwörter missbraucht oder unsachgemäß zugegriffen wurden. Wir haben dieses Problem proaktiv unserem Hauptregulierer, der irischen Datenschutzkommission, gemeldet und haben während dieser Untersuchung konstruktiv mit ihnen zusammengearbeitet.“