Дочірня компанія Meta оштрафована в Ірландії на 92 млн євро за зберігання паролів юзерів без шифрування

Ірландська комісія із захисту даних (DPC) оштрафувала дочірню компанію Meta Platforms Ireland Limited на 91 млн євро після завершення розслідування порушення безпеки у 2019 році, коли виявили, що на внутрішніх серверах зберігалися паролі користувачів у вигляді простого тексту (plaintext) без криптографічного захисту або шифрування. 

У первинному повідомленні Meta йшлося лише про те, що компанія виявила на своїх серверах паролі користувачів, які зберігалися у незашифрованому вигляді. А через місяць компанія оновила свою заяву, повідомивши, що мільйони паролів від Instagram також зберігаються у форматі, який легко читається.

Хоча Meta не повідомила, скільки акаунтів постраждало, старший співробітник повідомив тоді виданню Krebs on Security, що інцидент торкнувся до 600 мільйонів паролів. Деякі з цих паролів зберігалися на серверах компанії в зручному для читання форматі з 2012 року. За повідомленнями, їх також могли шукати понад 20 000 співробітників Facebook, хоча DPC у своєму рішенні уточнив, що вони, принаймні, не були доступні зовнішнім сторонам.

В DPC встановили, що Meta порушила кілька правил GDPR, пов'язаних з цим порушенням. 

У рішенні DPC зафіксовані наступні висновки про порушення GDPR:

• стаття 33(1) GDPR, оскільки MPIL не повідомила DPC про порушення персональних даних щодо зберігання паролів користувачів у відкритому вигляді;  
• ст. 33(5) GDPR, оскільки MPIL не задокументувала порушення персональних даних щодо зберігання паролів користувачів у відкритому вигляді;
• ст. 5(1)(f) GDPR, оскільки MPIL не вжила належних технічних або організаційних заходів для забезпечення належного захисту паролів користувачів від несанкціонованої обробки; та
• ст. 32(1) GDPR, оскільки MPIL не впровадила належні технічні та організаційні заходи для забезпечення рівня безпеки, відповідного до ризику, включаючи здатність забезпечити постійну конфіденційність паролів користувачів.

«Загальновизнано, що паролі користувачів не повинні зберігатися у відкритому вигляді, враховуючи ризики зловживань, які виникають з боку осіб, що мають доступ до таких даних. Слід мати на увазі, що паролі, які є предметом розгляду в цій справі, є особливо чутливими, оскільки вони дозволять отримати доступ до облікових записів користувачів у соціальних мережах», - йдеться в заяві заступника комісара DPC Грема Дойла.

Рішення DPC стосується принципів цілісності та конфіденційності GDPR. GDPR вимагає від контролерів даних впроваджувати належні заходи безпеки при обробці персональних даних, беручи до уваги такі фактори, як ризики для користувачів послуг та характер обробки даних. З метою забезпечення безпеки контролери даних повинні оцінювати ризики, притаманні обробці, та вживати заходів для їх зменшення. Це рішення підкреслює необхідність вжиття таких заходів при зберіганні паролів користувачів.

GDPR також вимагає, щоб контролери даних належним чином документували порушення персональних даних та повідомляли органи захисту даних про порушення, що трапляються. Порушення персональних даних, якщо його не усунути належним і своєчасним чином, може призвести до такої шкоди, як втрата контролю над персональними даними. Тому, коли контролеру стає відомо, що сталося порушення персональних даних, він повинен без невиправданої затримки повідомити про це наглядовий орган у порядку, передбаченому статтею 33 GDPR.

Рішення DPC містить наступні коригувальні повноваження:

• Догана відповідно до статті 58(2)(b) GDPR; та
• Адміністративні штрафи на загальну суму 91 млн євро відповідно до статей 58(2)(i) та 83 GDPR.

Стаття 60 GDPR регулює процедуру співпраці між провідним наглядовим органом та іншими зацікавленими наглядовими органами.

DPC