Facebook’un ana şirketi Meta2018 yılında ortaya çıkan ve 29 milyondan fazla kullanıcının verilerini tehlikeye atan kritik bir güvenlik ihlalinin ardından Avrupa Birliği tarafından 251 milyon Euro tutarında önemli bir para cezasına çarptırıldı.
Güvenlik ihlalinin kaynağı
Eylül 2018’de tespit edilen güvenlik ihlali, Facebook’taki “Farklı görüntüle” işleviyle ilgiliydi. Kullanıcıların profillerini diğer insanlara göründüğü gibi görmeleri için kullanılan özellikte, bilgisayar korsanlarının yararlanmayı başardığı üç farklı hata bulunuyordu. Bu teknik kusurlar, bilgisayar korsanlarının, şifreye ihtiyaç duymadan oturum açmak için dijital anahtar görevi gören erişim belirteçleri oluşturmasına ve böylece kullanıcı hesaplarına sanki gerçek sahiplermiş gibi erişmesine olanak tanıdı.
Sonuçlar acil ve ciddi oldu: Yaklaşık 29 milyon profil ele geçirildi ve kişisel verileri potansiyel olarak ifşa edildi. Bu hesapların neredeyse 3 milyonu Avrupa Birliği sakinlerine aitti, bu nedenle İrlanda Veri Koruma Komisyonu’nun (DPC) doğrudan katılımı arttı.
Güvenliği ihlal edilmiş verilerin niteliği
Bilgisayar korsanlarının eriştiği bilgiler çeşitlidir ve DPC raporlarına göre kullanıcıların tam adı, e-posta adresi, telefon numarası, doğum tarihi ve hatta dini gibi hassas verileri içermektedir. Ek olarak, bazı hesaplar için mevcut bilgiler, kullanıcıların cinsiyeti, dili ve son coğrafi konumu gibi ayrıntılar da dahil olmak üzere bunun çok ötesine geçiyordu.
Bu olay, yalnızca etkilenen kullanıcılar için acil tehlikeleri değil, aynı zamanda o dönemde Facebook’un güvenlik sistemlerinde mevcut olan güvenlik açıklarının boyutunu da ortaya çıkardı. Bu olayın başlangıçtaki yanlış ele alınması, sonuçların ciddiyetini artırdı ve bu, verilen para cezasının boyutunu belirleyen bir faktör oldu.
Meta reaksiyonlar ve düzeltici eylemler
İhlal fark edilir edilmez, Meta etkilenen kullanıcıları ve DPC dahil düzenleyici otoriteleri proaktif olarak bilgilendirirken kusuru kapatmak için hızlı düzeltici önlemler aldığını iddia etti. Ancak bu eylemlere rağmen İrlanda makamı, şirketin, özellikle iletişim ve güvenlik tasarımı açısından, başından itibaren GDPR’nin bazı temel gerekliliklerine uymadığına karar verdi.
Meta’nın sözcüsü yaptığı açıklamada, şirketin sorun tespit edildikten sonra hızlı ve şeffaf bir şekilde hareket ettiğini ileri sürerek bu karara itiraz etmeyi planladığını söyledi. Ancak bu tepkinin, bu olayı tasarımla sağlam bir şekilde korunan bir altyapıya duyulan ihtiyacın sembolik bir örneği olarak gören Avrupalı düzenleyicileri ikna etmediği açıktır.
Meta için düzenleyici ve mali sonuçlar
GDPR yürürlüğe girdiğinden beri Meta birçok ağır yaptırımla karşı karşıya kaldı. Bu son 251 milyon Euro’luk para cezasından önce şirket, benzer ihlaller nedeniyle çeşitli vesilelerle mahkum edilmişti. Mayıs 2023’te kişisel verilerin işlenmesinde tekrarlanan kusurlar nedeniyle 1,2 milyar avroluk rekor bir para cezası uygulandı. Eylül 2024’te, özellikle kullanıcı şifrelerini etkileyen başka bir güvenlik ihlali nedeniyle ek olarak 91 milyon avroluk tazminat talep edildi.
Birbirini takip eden bu olaylar, Meta’nın veri korumaya ilişkin Avrupa düzenleyici yükümlülüklerine uyum konusunda sorunlu bir eğilimi ortaya koyuyor. Bu yasal zorluklara ve 2021’den bu yana bir milyar avroyu aşan kümülatif para cezalarına rağmen Meta’nın ekonomik büyümesi pek etkilenmiş görünmüyor. 2024’ün üçüncü çeyreğine ilişkin son mali rapor, gelirlerin yıllık %19’luk kayda değer bir artışla 40,59 milyar dolara ulaştığını gösteriyor.
Meta için işler canlı kalmaya devam etse de, alınan cezalar dizisi, düzenleyicilerin, kullanıcılarının güvenliğini ve şeffaflığını artırmak için büyük teknoloji şirketlerine uyguladığı baskının devam ettiğini gösteriyor. Bu yaptırımların devam etmesi açık bir mesaj veriyor: yalnızca mali cezalardan kaçınmak için değil, aynı zamanda kullanıcının güvenini korumak için veri koruma standartlarının ciddiye alınması gerekiyor.