SG.hu
A Meta szövegfájlokban tárolt több százmillió jelszót, 91 millió euró bírságot kapott érte
Lezárult a Facebook anyavállalatának 2019-es biztonsági résével kapcsolatos vizsgálat melynek eredményeképp a Meta újabb adatvédelmi büntetést kapott Európában: az ír adatvédelmi bizottság (DPC) bejelentette, hogy megrovást és 91 millió eurós bírságot szabott ki.
A DPC 2019 áprilisában indított vizsgálatot az EU általános adatvédelmi rendelete (GDPR) alapján, miután a Meta - vagy ahogy akkor még a céget hívták, a Facebook - értesítette arról, hogy „több százmillió” felhasználó jelszavát tárolták nyílt szövegben a szerverein. A biztonsági incidens jogi kérdés az Európai Unióban, mivel a GDPR előírja a személyes adatok megfelelő védelmét. A vizsgálatot követően a DPC most arra a következtetésre jutott, hogy a Meta nem felelt meg a kontinens jogi normájának, mivel a jelszavakat nem védték titkosítással. Ez kockázatot jelentett, mivel harmadik felek potenciálisan hozzáférhettek az emberek közösségi média fiókjaiban tárolt érzékeny információkhoz.
A Meta GDPR-nak való megfelelésének felügyeletét ellátó szabályozó hatóság megállapította továbbá, hogy a Meta megsértette a szabályokat, mivel nem értesítette a jogsértésről az előírt határidőn belül. (A rendelet előírja, hogy a jogsértésről legkésőbb 72 órával a tudomásszerzést követően jelentést kell tenni.) A Meta a DPC szerint elmulasztotta továbbá a jogsértés megfelelő dokumentálását is. Graham Doyle, az adatvédelmi biztos helyettese a következőket írta: "Széles körben elfogadott, hogy a felhasználói jelszavakat nem szabad egyszerű szövegben tárolni, tekintettel az ilyen adatokhoz hozzáférő személyek által okozott visszaélések kockázatára. Nem szabad elfelejteni, hogy a jelszavak, amelyekről ebben az esetben szó van, különösen érzékenyek, mivel lehetővé tennék a felhasználók közösségi média fiókjaihoz való hozzáférést.”
A Meta szóvivője, Matthew Pollard e-mailben küldött egy nyilatkozatot, amelyben a vállalat igyekezett lekicsinyelni a megállapítást, és azt állította, hogy a cég" azonnali intézkedéseket” tett a jelszókezelési folyamataiban elkövetett „hiba” miatt. "Egy 2019-es biztonsági felülvizsgálat részeként megállapítottuk, hogy az FB felhasználók jelszavainak egy részhalmaza átmenetileg olvasható formátumban volt naplózva belső adatrendszereinkben. Azonnali intézkedéseket tettünk a hiba kijavítására, és nincs bizonyíték arra, hogy ezekkel a jelszavakkal visszaéltek volna, vagy hogy azokhoz illetéktelenül hozzáfértek volna” - írta a Meta. „Proaktívan jeleztük ezt a problémát a vezető szabályozó hatóságunknak, az ír adatvédelmi bizottságnak, és konstruktívan együttműködtünk velük a vizsgálat során”.
A Meta már korábban begyűjtötte a technológiai óriásoknak kiszabott legnagyobb GDPR-büntetések többségét, így a mostani szankció csak aláhúzza az adatvédelmi megfeleléssel kapcsolatos problémáinak mértékét. A büntetés lényegesen szigorúbb, mint az a 17 millió eurós bírság, amelyet a DPC 2022 márciusában szabott ki a Metára egy 2018-as biztonsági rés miatt. Ennek fő oka, hogy az ír szabályozó hatóságnál azóta vezetői váltás történt, a két incidens azonban különbözik az érintett felhasználók számában is.
A GDPR felhatalmazza az adatvédelmi hatóságokat, hogy jogsértések esetén bírságot szabjanak ki, ahol a bírság összegét többek között olyan tényezők alapján számítják ki, mint a jogsértés jellege, súlyossága és időtartama; az adatkezelés terjedelme vagy célja; valamint az érintett érintettek száma és az elszenvedett kár mértéke. A GDPR szerinti legmagasabb lehetséges büntetés a globális éves forgalom 4%-a. A Meta esetében tehát a 91 millió eurós bírság jelentős összegnek tűnhet, de ez csak egy apró töredéke annak a milliárdos összegnek, amellyel a vállalat elméletileg számolhatna, mivel 2023-as éves bevétele 134,9 milliárd dollár volt.
A DPC 2019 áprilisában indított vizsgálatot az EU általános adatvédelmi rendelete (GDPR) alapján, miután a Meta - vagy ahogy akkor még a céget hívták, a Facebook - értesítette arról, hogy „több százmillió” felhasználó jelszavát tárolták nyílt szövegben a szerverein. A biztonsági incidens jogi kérdés az Európai Unióban, mivel a GDPR előírja a személyes adatok megfelelő védelmét. A vizsgálatot követően a DPC most arra a következtetésre jutott, hogy a Meta nem felelt meg a kontinens jogi normájának, mivel a jelszavakat nem védték titkosítással. Ez kockázatot jelentett, mivel harmadik felek potenciálisan hozzáférhettek az emberek közösségi média fiókjaiban tárolt érzékeny információkhoz.
A Meta GDPR-nak való megfelelésének felügyeletét ellátó szabályozó hatóság megállapította továbbá, hogy a Meta megsértette a szabályokat, mivel nem értesítette a jogsértésről az előírt határidőn belül. (A rendelet előírja, hogy a jogsértésről legkésőbb 72 órával a tudomásszerzést követően jelentést kell tenni.) A Meta a DPC szerint elmulasztotta továbbá a jogsértés megfelelő dokumentálását is. Graham Doyle, az adatvédelmi biztos helyettese a következőket írta: "Széles körben elfogadott, hogy a felhasználói jelszavakat nem szabad egyszerű szövegben tárolni, tekintettel az ilyen adatokhoz hozzáférő személyek által okozott visszaélések kockázatára. Nem szabad elfelejteni, hogy a jelszavak, amelyekről ebben az esetben szó van, különösen érzékenyek, mivel lehetővé tennék a felhasználók közösségi média fiókjaihoz való hozzáférést.”
A Meta szóvivője, Matthew Pollard e-mailben küldött egy nyilatkozatot, amelyben a vállalat igyekezett lekicsinyelni a megállapítást, és azt állította, hogy a cég" azonnali intézkedéseket” tett a jelszókezelési folyamataiban elkövetett „hiba” miatt. "Egy 2019-es biztonsági felülvizsgálat részeként megállapítottuk, hogy az FB felhasználók jelszavainak egy részhalmaza átmenetileg olvasható formátumban volt naplózva belső adatrendszereinkben. Azonnali intézkedéseket tettünk a hiba kijavítására, és nincs bizonyíték arra, hogy ezekkel a jelszavakkal visszaéltek volna, vagy hogy azokhoz illetéktelenül hozzáfértek volna” - írta a Meta. „Proaktívan jeleztük ezt a problémát a vezető szabályozó hatóságunknak, az ír adatvédelmi bizottságnak, és konstruktívan együttműködtünk velük a vizsgálat során”.
A Meta már korábban begyűjtötte a technológiai óriásoknak kiszabott legnagyobb GDPR-büntetések többségét, így a mostani szankció csak aláhúzza az adatvédelmi megfeleléssel kapcsolatos problémáinak mértékét. A büntetés lényegesen szigorúbb, mint az a 17 millió eurós bírság, amelyet a DPC 2022 márciusában szabott ki a Metára egy 2018-as biztonsági rés miatt. Ennek fő oka, hogy az ír szabályozó hatóságnál azóta vezetői váltás történt, a két incidens azonban különbözik az érintett felhasználók számában is.
A GDPR felhatalmazza az adatvédelmi hatóságokat, hogy jogsértések esetén bírságot szabjanak ki, ahol a bírság összegét többek között olyan tényezők alapján számítják ki, mint a jogsértés jellege, súlyossága és időtartama; az adatkezelés terjedelme vagy célja; valamint az érintett érintettek száma és az elszenvedett kár mértéke. A GDPR szerinti legmagasabb lehetséges büntetés a globális éves forgalom 4%-a. A Meta esetében tehát a 91 millió eurós bírság jelentős összegnek tűnhet, de ez csak egy apró töredéke annak a milliárdos összegnek, amellyel a vállalat elméletileg számolhatna, mivel 2023-as éves bevétele 134,9 milliárd dollár volt.