Η παράβλεψη της εταιρείας κατέστησε τους κωδικούς πρόσβασης εκατομμυρίων χρηστών του Facebook και του Instagram ευάλωτους
Η έρευνα της DPC ξεκίνησε τον Απρίλιο του 2019 αφού η Meta - οι ιδιοκτήτες και οι χειριστές του Facebook, του Instagram και του WhatsApp - ειδοποίησαν τη ρυθμιστική αρχή ότι οι κωδικοί πρόσβασης ορισμένων χρηστών μέσων κοινωνικής δικτύωσης είχαν αποθηκευτεί σε απλό κείμενο, που σημαίνει ότι δεν ήταν κρυπτογραφημένοι ή με άλλο τρόπο προστατευμένοι.
Αυτή η παράβλεψη κατέστησε τους κωδικούς πρόσβασης εκατομμυρίων χρηστών του Facebook και του Instagram ευάλωτους σε μη εξουσιοδοτημένη πρόσβαση από χιλιάδες υπαλλήλους της Meta.
Ωστόσο, η Meta δήλωσε τότε ότι κανένα στοιχείο δεν υποδηλώνει ότι αυτοί οι κωδικοί πρόσβασης έχουν βρεθεί σε λάθος χέρια.
Η έρευνα αποκάλυψε τέσσερις παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR), συμπεριλαμβανομένης της μη ειδοποίησης της παραβίασης δεδομένων στο DPC, της μη επαρκούς τεκμηρίωσής της και της μη χρήσης επαρκών τεχνικών ή οργανωτικών μέτρων για την προστασία των κωδικών πρόσβασης.
Σύμφωνα με το DPC, αυτή η αποτυχία κρυπτογράφησης των κωδικών πρόσβασης χρηστών παραβίαζε τα άρθρα 33 και 32 του GDPR, τα οποία απαιτούν από τις εταιρείες να διασφαλίζουν την ασφάλεια των δεδομένων και να ενημερώνουν έγκαιρα τις αρχές για παραβιάσεις.
Ο αναπληρωτής επίτροπος του DPC Graham Doyle δήλωσε:
Είναι ευρέως αποδεκτό ότι οι κωδικοί πρόσβασης χρηστών δεν πρέπει να αποθηκεύονται σε απλό κείμενο, λαμβάνοντας υπόψη τους κινδύνους κατάχρησης που προκύπτουν από άτομα που έχουν πρόσβαση σε τέτοια δεδομένα.
«Πρέπει να ληφθεί υπόψη ότι οι κωδικοί πρόσβασης που αποτέλεσαν αντικείμενο εξέτασης σε αυτήν την περίπτωση είναι ιδιαίτερα ευαίσθητοι, καθώς θα επέτρεπαν την πρόσβαση στους λογαριασμούς των χρηστών στα μέσα κοινωνικής δικτύωσης», πρόσθεσε.
Η Meta ισχυρίστηκε ότι ανακάλυψε το πρόβλημα κατά τη διάρκεια ενός συνήθους ελέγχου ασφαλείας και έλαβε άμεσα μέτρα για την επίλυσή του.
Παρά τη συνεργασία της εταιρείας, η απόφαση της DPC οδήγησε σε πρόστιμο και επίσημη επίπληξη για μη τήρηση των κατάλληλων προτύπων ασφαλείας.
www.bankingnews.gr
Σχόλια αναγνωστών