Meta оштрафована на $101,5 миллиона за нарушение безопасности паролей

Главный регулятор в области конфиденциальности Европейского Союза наложил штраф на Meta в размере 91 миллиона евро (101,5 миллиона долларов) за недостаточные меры безопасности в отношении паролей пользователей.

Сегодня Ирландская комиссия по защите данных (DPC) объявила о своем окончательном решении в деле, касающемся Meta Platforms Ireland Limited (MPIL).

В объявлении говорится, что расследование началось в апреле 2019 года, когда MPIL сообщило о том, что по ошибке сохранило пароли некоторых пользователей социальных сетей в «открытом виде», то есть без какого-либо шифрования или криптографической защиты на своих внутренних системах.

Этот инцидент вызвал серьезные опасения относительно безопасности пользовательских данных и соблюдения Общего регламента по защите данных (GDPR).

Заместитель комиссара Грэхем Дойл подчеркнул серьезность хранения паролей в открытом виде, заявив в объявлении,

«Общепринято, что пароли пользователей не должны храниться в открытом виде, учитывая риски злоупотребления, которые возникают, когда люди получают доступ к таким данным.»

«Следует помнить, что пароли, которые являются предметом рассмотрения в данном случае, особенно чувствительны, поскольку они позволяют получить доступ к социальным сетям пользователей,» — добавила она.

В июне 2024 года ДКЗ представил проект решения по данному делу другим заинтересованным контролирующим органам по всему Европейскому Союзу и Европейскому экономическому пространству.

Поскольку против проекта не было возражений, DPC приступила к окончательному утверждению своего решения. 26 сентября DPC сообщила MPIL, что она будет подвергнута выговору, а также крупному штрафу в размере 91 миллиона евро (примерно 101,5 миллиона долларов) за свою халатность.

DPC обнаружила множество нарушений GDPR в своих выводах. В частности, MPIL была обвинена в том, что не уведомила DPC о нарушении защиты личных данных, связанном с незашифрованным хранением паролей пользователей.

В дополнение, комиссия отметила, что MPIL не документировала нарушения. Кроме того, DPC обнаружил, что MPIL не применил соответствующие технические или организационные меры для защиты паролей пользователей от несанкционированного доступа.

В заключение, DPC обвиняет MPIL в том, что они не внедрили адекватные меры безопасности, соответствующие рискам, связанным с обработкой паролей.

Согласно представителю Meta в электронном письме для Bloomberg, проблема была обнаружена в ходе проверки безопасности в 2019 году.

Представитель написал: «Мы немедленно приняли меры для исправления этой ошибки, и нет никаких доказательств того, что эти пароли были использованы неправильно или получены незаконным путем.»

«Мы активно обратили внимание нашего главного регулятора, Ирландской комиссии по защите данных, на эту проблему и конструктивно сотрудничали с ними на протяжении всего этого расследования», — заявил представитель.

Этот последний штраф вносит свой вклад в растущий список штрафов Meta за нарушение GDPR, в который уже включены некоторые из самых крупных штрафов, когда-либо налагаемых на технологические гиганты, как сообщает TechCrunch.

Это подчеркивает продолжающиеся проблемы компании с соблюдением конфиденциальности и вызывает вопросы о ее способности эффективно защищать данные пользователей.