Meta оштрафована на €91 миллион за хранение паролей Facebook и Instagram в открытом виде

Ирландская комиссия по защите данных (DPC) оштрафовала Meta Platforms Ireland Limited (MPIL) на €91 миллион ($100 миллионов) за случайное хранение сотен миллионов паролей пользователей в открытом виде.

Также компании было вынесено замечание по этому делу.

В марте 2019 года Meta уведомила DPC о том, что неправильно хранила некоторые пароли пользователей Facebook в открытом виде на своих внутренних системах, т.е. без криптографической защиты или шифрования. В то время компания также публично признала инцидент.

“В рамках планового обзора безопасности в январе мы обнаружили, что некоторые пароли пользователей хранились в читаемом формате в наших внутренних системах хранения данных. Это привлекло наше внимание, поскольку наши системы входа разработаны так, чтобы скрывать пароли с использованием методов, которые делают их нечитаемыми,” - сообщила Meta в пресс-релизе в марте 2019 года.

Хотя компания не раскрыла, сколько пользователей пострадало от этой проблемы, она оценила, что уведомит “сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook” и “миллионы пользователей Instagram.”

В то время Meta заявила, что не нашла доказательств того, что пароли были доступны внешним сторонам и не были неправомерно использованы или неправильно доступны внутри компании.

После раскрытия инцидента Meta, DPC провела расследование практики хранения паролей компании в апреле 2019 года, чтобы оценить соблюдение MPIL Общего регламента по защите данных Европейского Союза (GDPR).

В частности, технологический гигант нарушил четыре различных статьи GDPR, включая несообщение DPC о нарушениях персональных данных, документирование нарушений персональных данных в отношении хранения паролей пользователей в открытом виде, несоответствие использованию соответствующих технических или организационных мер для защиты данных паролей пользователей от несанкционированной обработки и использование соответствующих технических и организационных мер для обеспечения постоянной конфиденциальности паролей пользователей.

“Широко признано, что пароли пользователей не должны храниться в ‘открытом виде’, учитывая риски злоупотребления, возникающие из доступа к таким данным. Необходимо помнить, что пароли, рассматриваемые в данном случае, являются особенно чувствительными, так как они обеспечивают доступ к учетным записям пользователей в социальных сетях,” - сказал Грэм Дойл, заместитель комиссара DPC, в заявлении.

DPC также заявила в пресс-релизе: “GDPR требует от контроллеров данных внедрения соответствующих мер безопасности при обработке персональных данных, учитывая такие факторы, как риски для пользователей услуг и характер обработки данных. Для поддержания безопасности контроллеры данных должны оценивать риски, присущие обработке, и внедрять меры для смягчения этих рисков.”

В ответ на вышеуказанные нарушения GDPR DPC наложила штраф в размере €91 миллиона ($100 миллионов) на Meta и вынесла замечание в соответствии со статьей 58(2)(b) GDPR. Агентство опубликует полную информацию и дополнительную информацию, связанную с инцидентом, в установленный срок.

Реагируя на штраф DPC, Meta заявила в заявлении, распространенном Associated Press: “Мы немедленно предприняли меры для исправления этой ошибки, и нет никаких доказательств того, что эти пароли были злоупотреблены или неправомерно доступны. Мы проактивно сообщили об этой проблеме нашему главному регулятору, Ирландской комиссии по защите данных, и конструктивно взаимодействовали с ними на протяжении всего этого расследования.”