Meta, 2019 yılında yaşanan bir güvenlik ihlaline yönelik soruşturmanın tamamlanmasının ardından, İrlanda Veri Koruma Komisyonu (DPC) tarafından 91.5 milyon avro para cezasına çarptırıldı. Şirket, o yılın ocak ayında bazı kullanıcı parolalarının düz metin formatında saklandığını fark ettiğini açıklamıştı. Ancak bir ay sonra yapılan güncellemeyle, milyonlarca Instagram kullanıcısının parolalarının da kolayca okunabilir formatta saklandığı ortaya çıktı.
Meta, kaç hesabın etkilendiğini net olarak belirtmezken, o dönemde bir üst düzey çalışan, Krebs on Security’ye yaptığı açıklamada, olayın yaklaşık 600 milyon parolayı kapsadığını söylemişti. Bazı parolaların 2012’den bu yana şirketin sunucularında düz metin formatında saklandığı, bu parolalara 20 binden fazla Facebook çalışanının erişebildiği bildirildi. Ancak DPC’nin kararında bu bilgilerin dış taraflarla paylaşılmadığı belirtiliyor.
DPC, Meta’nın bu güvenlik ihlaliyle ilgili olarak Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kurallarını ihlal ettiğini belirtti. Komisyon, şirketin “kullanıcı parolalarının düz metin formatında saklanmasıyla ilgili kişisel veri ihlalini DPC’ye gecikmeden bildirmediğini” ve bu ihlalle ilgili yeterli dokümantasyon yapmadığını tespit etti. Ayrıca, kullanıcı parolalarının yetkisiz işlemlerden korunmasını sağlamak için uygun teknik önlemlerin alınmadığını belirtti.
DPC Başkan Yardımcısı Graham Doyle, yaptığı açıklamada, “Kullanıcı parolalarının düz metin formatında saklanmaması gerektiği yaygın olarak kabul edilmektedir, çünkü bu tür verilere erişen kişilerin suistimal riski yüksektir. Bu olayda söz konusu parolalar, kullanıcıların sosyal medya hesaplarına erişim sağladığı için özellikle hassastır,” dedi.
Meta aynı zamanda uyarı aldı
Komisyon, Meta’ya para cezasının yanı sıra ayrıca bir uyarı verdi. Bu uyarının Meta için tam olarak ne anlama geldiğini, komisyonun nihai kararını ve diğer ilgili bilgileri yayımladığında daha ayrıntılı bir şekilde öğrenmek mümkün olacak.