Nem védte megfelelően a Meta a felhasználók jelszavait

Az ír adatvédelmi hatóság (DPC) 91 millió eurós (kb. 36 milliárd forint) bírságot szabott ki a Metára, amiért a közösségi óriás több százmillió jelszót tárolt egyszerű plain textben úgy, hogy azok a belsős dolgozók számára széles körben hozzáférhetők voltak, ezzel pedig megsértette a GDPR előírásait. A Meta 2019-ben ismerte el, hogy a tulajdonában lévő közösségi hálózatokhoz kapcsolódó alkalmazások egyszerű szövegként naplózták a felhasználói jelszavakat egy adatbázisban, amihez nagyjából 2000 vállalati mérnöknek volt hozzáférése.

A biztonsági hibát a vállalat belső hálózati adattárolási gyakorlatának rutin biztonsági felülvizsgálata során tárták fel, de arra vonatkozó bizonyítékot nem találtak, hogy valaki a gyakorlatban is visszaélt volna a lehetőséggel, vagy vállalaton kívüli személy fért volna hozzá az adatbázishoz. A cég dolgozója a Krebs on Security számára megerősítette, hogy csaknem 600 millió jelszóról lehetett szó, melyeket már 2012 óta tárolhgattak nem megfelelő védelem mellett.

Több mint három évtizede szinte minden iparágban bevált gyakorlat a jelszavak hashelése, azaz titkosított módon történő eltárolása, miután a jelszó algoritmussal átalakításra kerül. Az átalakítás csak egy irányba működik, és nincs kriptográfiai eszköz a hashek egyszerű szöveggé való visszaalakítására, ezért a gyakorlatot számos rendelet teszi kötelezővé a legtöbb országban. Amikor a Meta 2019-ben nyilvánosságra hozta a biztonsági kockázatot, egyértelművé vált, hogy a vállalat több százmillió jelszavat nem tudott megfelelően védeni.

Az ír bizottság azóta vizsgálta az ügyet, hogy a Meta 2019-ben elismerte azt, tehát több mint öt év után érkezik a büntetés.  Az EU a mai napig több mint 2 milliárd euró bírságot szabott ki a Metára a 2018-ban életbe lépett általános adatvédelmi rendelet (GDPR) megsértése miatt, mely összeg magába foglalja a tavalyi rekord 1,2 milliárd eurós bírságot is.