Na Facebooku a Instagramu Meta uchovává více než půl miliardy hesel uživatelů v prostém textu, přičemž některá jsou snadno čitelná již více než deset let.
Problém byl poprvé odhalen v roce 2019, kdy Facebook přiznal, že „stovky milionů“ hesel jsou uloženy nešifrovaně. Facebook, nyní Meta, uvedl, že hesla nejsou k dispozici mimo společnost – ale také připustil, že kolem 2 000 inženýrů provedlo asi 9 milionů dotazů v této uživatelské databázi.
Nyní byla operace společnosti Meta v Irsku po pětiletém vyšetřování ze strany Irish Data Protection Commission (DPC) konečně pokutována 101,5 milionu dolarů. Pokuta se ukládá podle přísného evropského obecného nařízení o ochraně osobních údajů (GDPR).
„Je široce přijímáno, že uživatelská hesla by neměla být uchovávána v prostém textu, s ohledem na rizika zneužití, která vyplývají z osob, které k takovým údajům přistupují,“ uvedl v prohlášení o pokutě Graham Doyle, zástupce komisaře DPC. „Je třeba mít na paměti, že hesla, která jsou v tomto případě předmětem úvah, jsou zvláště citlivá, protože by umožnila přístup k účtům uživatelů na sociálních sítích.“
Společnost Meta Ireland byla shledána vinnou z porušení čtyř částí GDPR, včetně toho, jak „neoznámila DPC porušení osobních údajů týkající se ukládání uživatelských hesel v prostém textu“. Společnost Meta Ireland ohlásila selhání, ale pouze několik měsíců poté, co bylo objeveno.
Kteří uživatelé byli ovlivněni
Kromě pokuty a oficiálního napomenutí musí být celý rozsah rozhodnutí DPC ještě zveřejněn. Dosud zveřejněné podrobnosti neodhalují, zda hesla zahrnovala některého z uživatelů z USA, stejně jako uživatelů v Irsku nebo ve zbytku Evropské unie.
Je však velmi pravděpodobné, že se problém týká pouze uživatelů mimo USA. To proto, že v roce 2019 Facebook řekl CNN že většina hesel ve formátu prostého textu byla pro službu nazvanou Facebook Lite, kterou popsal jako omezenou službu pro oblasti světa s pomalejším připojením.
Meta se také samostatně odvolává proti rozhodnutí DPC z roku 2023 ohledně GDPR, které potenciálně zahrnuje údaje z USA. Podle MoneyCheckMeta byla údajně pokutována 1,3 miliardy dolarů za porušení předpisů o ochraně dat týkajících se přenosu uživatelských dat mezi EU a USA.
Není také známo, jak Meta pravděpodobně vylepšila své zabezpečení, pouze to, že alespoň některá hesla byla od roku 2012 uložena nešifrovaná.
Rozsudek proti společnosti Meta následuje po letech různých skandálů týkajících se soukromí a bezpečnosti týkající se Facebooku. Krátce předtím, než se tento problém poprvé objevil, byl Facebook vyšetřován federálními úřady kvůli sdílení dat s jinými společnostmi, nejznámějšími včetně Cambridge Analytica.
Zdroj: appleinsider.com