Ирландская комиссия по защите данных (Data Protection Commission, DPC) оштрафовала Meta* Platforms Ireland Limited (MPIL) на 91 млн евро за хранение в открытом виде паролей сотен миллионов пользователей. Этот инцидент DPC расследовала с 2019 года.
Напомним, что в 2019 году исследователи обнаружили, что пароли 200-600 млн пользователей от Facebook Lite**, Facebook** и Instagram** по ошибке хранились на серверах компании в формате простого текста и были доступны тысячам сотрудников компании.
В логах были обнаружены следы того, что около 2000 инженеров и разработчиков компании сделали порядка 9 000 000 внутренних запросов к элементам данных, содержавшим пользовательские пароли в открытом виде.
Интересно, что тогда Meta признала, что действительно хранила пароли, однако так и не назвала конкретных цифр, сообщая лишь, что инцидент затронул сотни миллионов пользователей Facebook Lite, десятки миллионов пользователей Facebook и миллионы пользователей Instagram.
Теперь Ирландская комиссия по защите данных, являющаяся ведущим органом ЕС по защите конфиденциальности и связанным с Meta вопросам (поскольку европейская штаб-квартира компании находится в Ирландии), завершила расследование этого инцидента, длившееся пять лет.
«В марте 2019 года MPIL уведомила DPC о том, что она непреднамеренно сохраняла пароли некоторых пользователей социальных сетей в виде “открытого текста” в своих внутренних системах (то есть без криптографической защиты или шифрования)», — гласит заявление DPC.
Хотя известно, что пароли были доступны третьим лицам, проведенные проверки не обнаружили никаких доказательств злоупотреблений или неправомерного доступа.
Так как хранение паролей без надлежащих мер защиты, таких как шифрование и контроль доступа, является нарушением сразу нескольких статей Общего регламента по защите данных ЕС (GDPR), надзорный орган принял решение оштрафовать Meta на 91 млн евро (101,6 млн долларов США).
К настоящему моменту Meta оштрафовали в ЕС уже более чем на 2,23 млрд долларов за различные нарушения GDPR, вступившего в силу в 2018 году. В эту сумму входит и рекордный штраф в размере 1,3 млрд долларов, который был наложен на компанию в прошлом году, и который Meta теперь пытается обжаловать.
*Деятельность Meta Platforms признана экстремисткой и запрещена в России.
**Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.
Источник: https://xakep.ru/2024/09/30/meta-one-more-gdpr-fine/
Подробнее...