Meta, matična tvrtka Facebooka i Instagrama, kažnjena je s 91 milijun eura (101,5 milijuna dolara) od strane Irske komisije za zaštitu podataka (DPC) zbog pohranjivanja korisničkih lozinki bez adekvatne enkripcije.
Kazna je uslijedila nakon petogodišnje istrage sigurnosnog incidenta koji se dogodio 2019. godine.
Problem je otkriven kada je Meta obavijestila irski DPC da je nenamjerno pohranila neke korisničke lozinke u formatu "čitljivog teksta" na svojim internim sustavima.
To znači da su lozinke bile pohranjene u lako čitljivom obliku bez uobičajenih sigurnosnih mjera enkripcije. Iako je Meta tada javno priznala incident, opseg problema bio je značajan.
Prema izvješćima, incident je potencijalno utjecao na 600 milijuna korisničkih računa. Lozinke su bile dostupne za više od 20.000 zaposlenika Facebooka, iako je DPC pojasnio da iste nisu bile dostupne vanjskim kompanijama.
Graham Doyle, zamjenik povjerenika irskog DPC-a, naglasio je ozbiljnost problema, izjavivši: "Opće je prihvaćeno da se korisničke lozinke ne smiju pohranjivati u čitljivom tekstu, s obzirom na rizike zloupotrebe koji proizlaze iz pristupa takvim podacima."
Dodao je da su sporne lozinke bile posebno osjetljive jer bi omogućile direktan pristup korisničkim računima.
Istraga je utvrdila kako je Meta prekršila nekoliko pravila prema Općoj uredbi o zaštiti podataka (GDPR) Europske unije. Konkretno, tvrtka nije obavijestila DPC o kršenju podataka bez nepotrebnog odgađanja, nije adekvatno dokumentirala kršenje i nije implementirala odgovarajuće tehničke mjere za osiguranje korisničkih lozinki od neovlaštene obrade.
Ova kazna je dio niza kazni koje je Meta dobila zbog povrede GDPR-a. Do danas, tvrtka je ukupno kažnjena s 2,5 milijardi eura za različita kršenja od uvođenja uredbe 2018. godine. To uključuje rekordnu kaznu od 1,2 milijarde eura iz 2023. godine vezanu za prijenos podataka između EU-a i SAD-a, a koja trenutno još nije izvršena zbog žalbe koju je podnijela Meta.