Çevrimiçi güvenliğin her zamankinden daha önemli olduğu bir gün ve çağda, Meta Platforms Ireland Limited’in (MPIL) Instagram ve Facebook kullanıcılarına ait 600 milyondan fazla şifreyi düz metin olarak sakladığı tespit edildi. Bu şifrelerden bazıları 10 yılı aşkın süredir bu formda bulunuyor. Bu konu ilk kez 2019’da, artık Meta olarak bilinen Facebook’un, yüz milyonlarca şifrenin yanlışlıkla şifrelenmemiş olarak düz metin halinde saklandığını Veri Koruma Komisyonu’na (DPC) kabul etmesiyle ortaya çıktı.
DPC’nin beş yıllık soruşturmasının ardından Meta’nın İrlanda’daki operasyonlarına 101,5 milyon dolar para cezası verildi. Meta’nın, birçok Instagram ve Facebook kullanıcısının şifrelerini daha güvenli bir şekilde saklamayarak Avrupa’nın Genel Veri Koruma Düzenlemesini (GDPR) ihlal ettiği tespit edildi. Meta, bu şifrelenmemiş şifrelerin şirket dışındaki kişilerin kullanımına açık olmadığını iddia etti. Ancak şirket, 2.000 mühendisin bu özel kullanıcı veritabanıyla ilgili 9 milyon sorgu yaptığını itiraf etti.
DPC’nin kararında, Meta Platforms Ireland Limited’in (MPIL) aşağıdaki ihlalleri gerçekleştirerek GDPR kurallarına uymadığı tespit edildi:
Madde 33(1)-MPIL, kullanıcı şifrelerinin düz metin olarak saklanmasına ilişkin kişisel veri ihlalini DPC’ye bildirmedi;
Madde 33(5)-MPIL, kullanıcı şifrelerinin düz metin olarak saklanmasına ilişkin kişisel veri ihlallerini belgeleyemedi;
Madde 5(1)(f)-MPIL, kullanıcıların şifrelerinin yetkisiz işlemlere karşı uygun şekilde güvenliğini sağlamak için uygun teknik veya organizasyonel önlemleri kullanmamıştır; Ve
Madde 32(1)-MPIL, kullanıcı şifrelerinin sürekli gizliliğini sağlama yeteneği de dahil olmak üzere, riske uygun bir güvenlik düzeyi sağlamak için uygun teknik ve organizasyonel önlemleri uygulamamıştır.
“Kullanıcı şifrelerinin açık metin halinde saklanmaması gerektiği, bu verilere erişen kişilerin kötüye kullanma riskleri göz önünde bulundurularak yaygın olarak kabul edilmektedir. Bu durumda ele alınan şifrelerin özellikle hassas olduğu unutulmamalıdır. çünkü kullanıcıların sosyal medya hesaplarına erişime olanak sağlayacaklar.” -Graham Doyle, DPC Komiser Yardımcısı
DPC’nin kararı, Meta’nın GDPR Madde 58(2)(b) uyarınca kınama yapmasını gerektiriyor; ve söz konusu 91 milyon Euro’luk (101,5 milyon $) para cezasını ödeyin. DPC, Kararın tamamını ve ilgili diğer bilgileri zamanı gelince yayınlayacağını da sözlerine ekledi. Kararda yer alan şifrelerin yalnızca ABD dışındaki kullanıcıları kapsadığına inanılıyor. Meta, 2019’da CNN’e, düz metin şifrelerin çoğunun, dünyanın daha yavaş internet bağlantısına sahip bölgeleri için daha az kapsamlı bir sosyal medya hizmeti olan Facebook Lite adlı bir hizmete ait olduğunu söyledi.
İrlanda Veri Koruma Komisyonu, Meta’ya GDPR’yi ihlal ettiği gerekçesiyle 101,5 milyon dolar tutarında para cezası verdi. | Resim kredisi-Veri Koruma Komisyonu
Meta, Facebook, Messenger, Instagram ve WhatsApp’ın sahibidir.